Блог

У меня есть сервер REST API, который хранит пользовательские данные и обрабатывает все запросы. Интерфейс находится на другом сервере, а также есть мобильное приложение. Я хотел бы интегрировать OAuth2, но у меня есть сомнения в том, какой тип гранта выбрать. С одной стороны, тип гранта ROPC лучше всего подходит в моей ситуации, так как я не разрешаю никаких сторонних приложений, и я не хочу, чтобы пользователь перенаправлялся куда-либо, и пользователь никогда не сможет напрямую использовать мои конечные точки, только с помощью какого-либо интерфейса (интерфейсный или мобильный графический интерфейс). Итак, каковы здесь возможные варианты?

Обычно предоставление кода авторизации-это правильный путь. Я предполагаю, что вы задаете этот вопрос, потому что слышали, что ROPC довольно небезопасен в использовании и его следует избегать, когда это возможно? И это было бы правдой. Используйте Предоставление Кода Авторизации. Лучше: используйте предоставление кода авторизации с помощью PKCE. (PKCE является обязательным для мобильных приложений, а также хорошей практикой для веб-приложений) Я знаю, что код авторизации поначалу может показаться сложным, но это действительно правильный способ работы с OAuth.

Блог Okta в PKCE