Блог

У меня есть задача дать руководителю моей команды обратную связь, если наш клиент OpenID подключит службу поддержки SPA или нет. поэтому я хочу знать, существуют ли какие-либо критерии для поставщика аутентификации OpenID для поддержки одностраничных приложений.

Все провайдеры OpenID Connect поддерживают приложения SPA. Если это СПА, мобильное приложение или серверный клиент, не имеет значения.

Однако вам необходимо знать о последствиях для безопасности, хорошим аргументом является это видео-предупреждение «OAuth 2 0»; / / Влияние XSS на OAuth 2 0 в СПА-салонах и этот документ с рекомендациями OAuth 2.0 для приложений на основе браузера

Как упоминал Торе, все поставщики OIDC поддерживают СПА-салоны, поскольку на самом деле не имеет значения, где находится клиент. СПА-центры, однако, создают некоторые риски для безопасности при обработке токенов в браузере. Возможно, вам захочется взглянуть на реализацию SPA с легким компонентом «Бэкэнд для интерфейса», который позволит вашему SPA полагаться на файлы cookie сеанса, а не на токены. Это еще больше отделит SPA от сервера авторизации.

Вы можете ознакомиться с демонстрацией такой установки, которую мы создали в Curity: https://curity.io/resources/learn/back-end-for-front-end/