Unterstützt Spring Security OAuth2 den Autorisierungscodefluss mit PKCE für Browser-Clients (Angular)?

codependent

Die Authentifizierung von Browseranwendungen wurde früher mit der impliziten Erteilung des Autorisierungsservers verwaltet. Ich habe dies erfolgreich mit Spring Security Oauth implementiert .

Dieser Ansatz hat mehrere Nachteile:

Aktualisierungstoken werden nicht unterstützt. Wenn das Token abläuft, müssen wir uns erneut beim Autorisierungsserver authentifizieren.
Dieser Zuschuss wird aus Sicherheitsgründen nicht empfohlen (siehe https://oauth.net/2/grant-types/implicit/ und https://tools.ietf.org/html/draft-parecki-oauth-browser-based) -apps-01 ).

Derzeit wird empfohlen, den Autorisierungscodefluss mit PKCE für Browseranwendungen zu verwenden.

Wie könnte dies in einem Spring Boot Authorization Server mit Spring Boot Oauth implementiert werden?

jzheaux

Nein, PKCE wird noch nicht unterstützt, obwohl es ein Ticket dafür gibt .

Beachten Sie auch, dass sich die OAuth-Unterstützung von Spring Security derzeit in einer Übergangsphase befindet, während sie in Spring Security migriert wird. Folgen Sie dieser Funktionsmatrix, um zu sehen, wo der Fortschritt ist.

Dieser Artikel stammt aus dem Internet. Bitte geben Sie beim Nachdruck die Quelle an.

Bei Verstößen wenden Sie sich bitte [email protected] Löschen.

bearbeiten am2020-12-17

Lass mich ein paar Worte sagen

0Kommentare

LoginNach der Teilnahme an der Überprüfung

Vorheriger Beitrag:Hinzufügen einer dynamischen Zeile (mit Dropdown in der Spalte), wenn bereits eine Bearbeitungsoption im Kendo-Raster implementiert ist

TOP Liste

Artikel