SPA的最佳流程[关闭]

Question

我应该使用当前支持的仅提供隐式流的库，还是从头开始编写自己的代码来处理代码流？

在对该主题进行了大量研究之后，我看到了关于在使用 OAuth2.0 (OIDC) 时使用哪种类型的流程的各种不同意见。虽然建议似乎正在发生变化，并且对新建议的支持不好像不在那里。我应该走哪条路？

1. 没有客户端密码和 PKCE 的代码流似乎是当前的“推荐”。

2. 隐式流似乎是过去的建议。

环顾四周，我发现很多编写的 Angular 库都主要只支持隐式流。

所以问题是使用现有的库和旧的推荐隐式流，还是编写我们自己的服务来处理新的 PKCE 无秘密代码流？

我的项目需要考虑的事项：

1. 在我们的应用中，您首次登录后必须选择一个组织，然后根据该组织获取一个具有新范围的新令牌。
2. 我们将有一个主启动器应用程序，它会根据您选择的应用程序打开 iFrames。每个启动的应用还必须获得新的令牌。
3. Angular 经验有限，但我们愿意努力学习。
4. 我们的最后期限非常紧迫。

Answer 1

目前的建议是使用带有 PKCE 的授权代码流。当 OpenID Connect/OAuth 2.0 首次出现时，SPA 推荐使用隐式流。但由于安全问题，这种情况发生了变化。很快就会对这些规范进行修改以突出该建议。

我建议使用AppAuth-JS 作为库。它通过 PKCE 提供授权代码流支持。它是一个官方的 Openid 基金会库。