Single Page Web App und entsprechende oauth Autorisierungsfluss

Question

Ich entwickle eine Seite Seite Seite App und von Online-Recherchen sieht es aus wie die implizite Oauth Flow am besten anwendbar ist. Die Sorge, die ich habe, ist, dass ich Refresh-Token nicht verwenden kann und ich möchte nicht den Benutzer häufig anmelden müssen.

Ich denke, eine Lösung ist langlebige Access-Tokens?

Answer 1

Die Best Practice besteht darin, den Autorisierungscode ohne client_secret zu verwenden und besser den Autorisierungscode Proof Key for Code Exchange by OAuth Public Clients (PKCE) zu verwenden. (Welche erlaubt Refresh Tokens)

Die folgende zeigt mehr OAuth 2.0-Provider und Diskussionen des Autorisierungscode aus (ohne client_secret) für SPA:

• https://aaronparecki.com/oauth-2-simplified/#single-page-apps
• https://www.oauth.com/oauth2-servers/oauth2-clients/single-page-apps/
• https://www.ietf.org/mail-archive/web/oauth/current/msg16966.html
• https://www.ietf.org/mail-archive/web/oauth/current/msg16968.html
• https://www.ietf.org/mail-archive/web/oauth/current/msg16967.html