关闭。这个问题需要细节或清晰。它目前不接受答案。
**想改进这个问题吗?**通过编辑这个帖子来添加细节并澄清问题。
上个月关门了。
改进这个问题
我在寻找帮助,选择正确的,最现代的和最安全的方式进行身份验证。我使用spring作为后端,在前端使用angular。我要补充一点,我想使用oauth2。我真的搜索了不少网站,没有找到一个直接的答案。我真的很困惑。。。
我从这个实现开始,但在阅读了这个建议之后就停止了。到目前为止,我知道我应该与pkce一起使用授权码grant。
如何在已经投入生产的应用程序中实现这一点?到目前为止,最明智的(我认为)选择是使用keydrope实现auth。嵌入式版本可靠吗?
1条答案
按热度按时间pnwntuvh1#
如果您想用oauth保护您的api,那么有许多产品可以使用(开源和付费解决方案,如果您搜索“identity server”,您应该能够找到一些解决方案)。keydepot是一个可行的选择,但还有其他选择。
在选择流时,我也会使用pkce的授权码grant。这是目前推荐的方法,特别是当您直接从angular应用程序执行oauth流时。
这是您必须做出的另一个决定-您是希望您的前端客户端直接与授权服务器联系(然后您必须在前端应用程序中处理令牌),还是希望呼叫您的后端并让后端与授权服务器对话(然后您可能会有一个会话cookie,并将会话与任何访问令牌相关联)。