简体繁体 English

是否存在可以用于多种客户端类型的“一包所有” OAuth2工作流程？

[英]Is there an one-for-all OAuth2 workflow that I can use for multiple client types?

原文 2018-08-26 15:03:58 9 1 rest/ security/ oauth-2.0/ spring-security-oauth2/ rest-security

I am building an application that will be secured by OAuth2. 我正在构建一个将由OAuth2保护的应用程序。 The types of users I expect are as below: 我期望的用户类型如下：

Non-confidential browser based java script client. 基于非保密浏览器的Java脚本客户端。 (My Angular client application) （我的Angular客户端应用程序）
Non-confidential native app client. 非机密本机应用程序客户端。 (My iOS/android client application) （我的iOS / android客户端应用程序）
3rd Party non-confidential browser based java script client. 基于第三方的非机密浏览器的Java脚本客户端。 (Any third party JS application running on a browser) （在浏览器上运行的任何第三方JS应用程序）
3rd Party non-confidential native app client. 第三方非机密本机应用程序客户端。 (Any third party iOS/android client application) （任何第三方iOS / android客户端应用程序）

My Questions: 我的问题：

Is there ONE workflow/grant type that will work for all of my above 4 use cases? 是否有一种工作流程/赠款类型适用于我所有上述4个用例？
If not, which workflows should I consider implementing in order to cover all of the above 4 scenarios? 如果没有，我应该考虑实施哪些工作流程以涵盖以上所有4种情况？

1 个解决方案

The Authorization Code grant type could cover all of the use case you mention. 授权码授予类型可以涵盖您提到的所有用例。 Even for non-confidential 3rd-party JS applications, though the Implicit grant was designed for that use case, current recommendations seem to point in the direction of the Authorization Code grant type. 即使对于非机密的第三方JS应用程序，尽管隐式授予是针对该用例设计的，但当前的建议似乎指向授权代码授予类型的方向。