我在我的SPA应用中实现了Auth0,其中一个要求是有一个自定义的用户界面,这也意味着我不能使用重定向到Auth0的通用登录页面。
在阅读了Auth0网站后,我发现了资源所有者授予类型,这似乎解决了我的问题,可以直接使用Auth0 API处理登录。
请问使用这种授权类型有什么缺点吗?(我读到这不是很推荐,但我想听听大家的意见)
另外,这种赠与类型有什么替代方案吗?我的意思是,如果Biz不想要重定向,我就只能用这个解决方案了?谢谢。
资源所有者密码授予
这有时是一个有用的 "桥接解决方案",但它也有一些缺点,总结如下 本文 从几年前开始。这些也许是主要的缺点。
登录重定向
重定向用户登录是非常标准的做法,这意味着你正在将安全问题外部化给专家提供商。大多数系统都会这样做,包括Gmail和Office 365。
我的 博客页 展示了Web桌面移动应用的登录重定向用户体验,那里有一个SPA,你可以运行。
当然,如果你的应用程序是良好的编码,应该没有重定向的缺点。例如,应用程序应该在你的SPA中保持用户的位置,以及用户正在编辑的任何数据。