Vorausgesetzt, dass der implizite OpenID Connect-Fluss hauptsächlich von Single-Page-Anwendungen (SPA) verwendet wird, erfolgt der erste Zugriff auf das Back-End/API unter Verwendung eines AJAX-Aufrufs nicht durch Laden des SPA selbst.OpenID Connect impliziter Fluss: Reagieren mit einer Weiterleitung?
Wenn die API erkennt, dass die Anforderung ohne Token gesendet wird, wie sollte sie dann reagieren?
IMHO macht es nicht viel Sinn mit einer Weiterleitung zu antworten, da dies nur zur Umleitung der AJAX-Anfrage führen würde, nicht das gesamte Browser-Fenster (was notwendig ist).
Also, reagiert mit einem 401
gut? Oder gibt es einen anderen (besseren) Weg, was zu tun ist? Angenommen, eine 401
ist in Ordnung, sollte der Server irgendwie angeben, welcher Identity-Provider verwendet werden soll, oder ist dies vollständig dem Client überlassen, und das Backend nimmt an, dass der Client weiß, welchem Identity-Provider er vertraut?