我应该使用隐式授权类型还是授权码授权类型？

Question

我有一个试图用OAuth 2保护的单页面web应用程序。理想情况下，在用户通过授权服务器的身份验证之前，我不想提供任何静态资源。隐式授权类型可以做到这一点吗？如果没有，在单页web应用程序中使用授权码授权类型是否会产生安全后果？

Answer 1

为了保护静态资源，您需要使用cookie(浏览器在每次请求时发送cookie)。最简单的方法是使用会话，Spring Security可以在会话中存储它的身份验证信息。您不能对服务器应用程序使用隐式授权，因为URL的散列部分(包含令牌)不会从浏览器发送到您的服务器。因此，您需要使用身份验证码授权。

您需要使用spring-security-oauth2模块配置Spring安全性，以要求您的单页web应用程序(SPA)进行身份验证。你去查一下some tutorial。

如果你放弃了保护静态资源的想法，你可以在你的SPA中使用隐式流，并保持后端无状态。