Блог

В настоящее время я работаю над потоком oauth и не знаю, как передать объект пользователя обратно в мое приложение SPA.

Этапы потока приведены ниже

1)Приложение SPA отправляет запрос на вход в мой сервер. (должно ли это быть get или post?)

2)Серверная часть создает URL-адрес авторизации и перенаправляет его поставщику аутентификации.
3)пользователь завершает аутентификацию, а поставщик аутентификации выполняет обратный вызов на мой сервер с действительным кодом авторизации.
4)Затем серверная часть анализирует код и обменивает его на токен. Этот токен будет обладать необходимыми атрибутами для создания пользовательского объекта.
5)Я застрял на этом шаге, чтобы узнать, как передать этот пользовательский объект в мое клиентское приложение SPA, так как в это время мне нужно выполнить перенаправление?. Я думаю прямо на ступеньках?

Спасибо!

Безопасность SPA — это глубокая тема, но рекомендации 2021 года заключаются в том, чтобы хранить данные OAuth в строго зашифрованных файлах cookie SameSite для большинства сценариев.

МОДЕЛЬ ВЕБ-САЙТА

В настоящее время вы используете архитектуру веб-сайта для SPA, где доставка контента и код OAuth смешаны вместе. Вы можете решить свою проблему следующим образом:

• Напишите один или несколько защищенных только по протоколу HTTP AES256 зашифрованных файлов cookie SameSite после входа в систему, содержащих данные, которые понадобятся SPA
• Затем SPA вызывает GET /userinfo, чтобы «отразить файлы cookie» и получить то, что ему нужно
• Возможно, вам потребуется использовать SameSite=lax, чтобы предотвратить удаление файла cookie после перенаправления
• При выходе из системы срок действия этих файлов cookie должен истечь

ЗАДНЯЯ ЧАСТЬ ДЛЯ ПЕРЕДНЕЙ ЧАСТИ

Для более современного решения SPA может реализовать OAuth на основе API, чтобы лучше разделить проблемы с веб-интерфейсом и API. Эти ресурсы показывают, как это сделать с помощью простого кода и наилучших преимуществ:

• Учебник
• Код