Как узнать, поддерживает ли провайдер openId connect одностраничные приложения, такие как угловое приложение

avatar
Ahmed Amer
8 августа 2021 в 17:42
39
2
1

У меня есть задача дать отзыв руководителю моей группы, поддерживает ли наш клиент сервис openId connect SPA или нет. поэтому я хочу знать, существуют ли какие-либо критерии для поставщика аутентификации openID для поддержки одностраничных приложений.

Источник

Ответы (2)

avatar
Michal Trojanowski
19 августа 2021 в 09:43
0

Как упомянул Торе, все провайдеры OIDC поддерживают SPA, поскольку на самом деле не имеет значения, где находится клиент. Однако SPA создают некоторые риски безопасности при обработке токенов в браузере. Возможно, вы захотите взглянуть на реализацию SPA с облегченным компонентом Backend-for-Frontend, который позволит вашему SPA полагаться на файлы cookie сеанса, а не на токены. Это еще больше отделит SPA от сервера авторизации.

Вы можете посмотреть демонстрацию такой установки, которую мы создали в Curity: https://curity.io/resources/learn/back-end-for-front-end/

avatar
Tore Nestenius
8 августа 2021 в 17:59
1

Все провайдеры OpenID Connect поддерживают приложения SPA. Будет ли это SPA, мобильное приложение или бэкэнд-клиент — не имеет значения.

Однако вам необходимо знать о последствиях для безопасности, хорошим примером является это видео alert‘OAuth 2 0’; // Влияние XSS на OAuth 2 0 в SPA и этот документ с рекомендациями OAuth 2.0 для браузерных приложений