SPA最佳流量

Question

我应该使用当前支持的只提供隐式流的库，还是从头开始编写自己的代码来处理代码流？

在对这个主题做了相当多的研究之后，我看到了关于在使用OAuth2.0 (OIDC)时使用哪种流的各种不同意见。尽管建议似乎在改变，对新建议的支持似乎也不存在。我该走哪条路？

1. 没有客户端秘密的代码流和PKCE似乎是当前的“推荐”。
2. 隐式流动似乎是过去的建议。

环顾四周，我发现很多角库都主要支持隐式流。

因此，问题还是使用现有库与旧的推荐隐式流一起使用，还是编写我们自己的服务来使用PKCE处理新的无秘密代码流？

我的项目要考虑的事情：

1. 在我们的应用程序中，一旦您第一次登录，您将不得不选择一个组织，并在此基础上获得一个具有新范围的新令牌。
2. 我们将有一个主要的启动应用程序，打开iFrames的基础上，您选择的应用。每个启动的应用程序也必须获得新的令牌。
3. 角度的经验是有限的，但我们愿意投入工作中学习。
4. 我们的截止日期很紧。

Answer 1

当前的建议是将授权代码流与PKCE一起使用。当SPA首次推出OpenID连接/OAuth2.0时，推荐隐式流。但出于安全考虑，情况发生了变化。不久将对这些规格进行修订，以突出这一建议。

我建议使用AppAuth-JS作为库。它提供了PKCE对授权代码流的支持。它是一个官方的Openid基金会库。