我正在开发一个服务器和客户端应用程序。这个应用程序将有一个Facebook或Google的社交登录按钮。服务器应用程序将暴露客户端应用程序将使用的API,但要做到这一点,客户端必须在服务器之前进行身份验证。这是我正在考虑的流程。
为了解决使用谷歌和Facebook的身份验证,我想使用隐式授权流,但...
1.在我的服务器中,我如何知道客户端的身份?客户端在我的服务器之前是如何进行身份验证的?
1.客户端应该发送一个令牌到我的服务器,它将如何工作?
备注:
- 服务器是Sping Boot 应用程序
- 客户端是使用Angular的单页应用程序
- 在未来我将开发一个移动的应用程序的客户端
1条答案
按热度按时间zrfyljdw1#
隐式流有几个缺点,其中之一是
implicit flow没有authorization code flow安全,因为缺少客户端认证。隐式授予类型不包括客户端身份验证,它依赖于资源所有者的存在和重定向URI的注册。由于访问令牌被编码到重定向URI中,因此它可能会暴露给资源所有者和驻留在同一设备上的其他应用程序。
您正在尝试在应用程序中使用Google或Facebook授权服务器。使用
authorization code flow比隐式流安全得多。