安全SPA - OAuth机密客户端(BFF模式)

Question

我想联系我的后台系统的机密客户。

SPA是一个角度应用程序。后端是一个具有不同rest端点的spring引导应用程序，它将对象存储在postgres中。

实际上我的SPA有一个登录页面，它连接到oauth服务器。我的SPA目前是一个公共客户端(客户端凭证存储在那里)。我想联系一个保密的客户。

​

​

我在上面附上了一张照片。SPA触发登录。后端现在接管身份验证，因此后端现在是客户端。后端接收访问令牌并将其存储在会话db中。后端然后向SPA发出一个httponly cookie，以便相应地保护会话。

我的建筑有可能吗？有什么例子吗？我没有会话管理方面的经验，希望尽可能少编程以避免错误和漏洞。

谢谢你帮忙！

Answer 1

是的，您可以在后端设置一个反向代理，以执行OAuth 2.0BFF任务，例如，请参阅：

https://hanszandbelt.wordpress.com/2017/02/24/openid-connect-for-single-page-applications/ https://github.com/zmartzone/mod_auth_openidc/wiki/Single-Page-Applications https://curity.io/blog/token-handler-the-single-page-applications-new-bff/