从OpenID的角度以及我已阅读的所有问题/文章来看,这似乎很不言自明-它是客户端应用程序在请求ID令牌。但是,当我尝试将其映射为我们体系结构中的实际“应用程序”时,我不确定。
给出:
涉及的组件是:
[如果我想在用户访问前端SPA时应用身份验证代码流,那么前端SPA或Web_API是否会被视为Client_Application?在Auth Code流中,实际的ID_Token交换Auth_Code会通过Back-end Web_API到OP向后进行。但是,实际上最初是前端SPA要求用户进行身份验证。 ID_Token的受众应该/将是什么-是SPA的还是Web_API的App_ID?
感谢您的澄清帮助。
从OpenID的角度以及我已阅读的所有问题/文章来看,这似乎很不言自明-它是客户端应用程序在请求ID令牌。但是,当我尝试将其映射为实际的“ ...
[当前最佳实践要求SPA使用带有PKCE(draft best practice rfc)的授权代码流。因此,在将OAuth与SPA一起使用时,请考虑这一点。