在授权代码授予工作流程中,应该提出什么请求来交换令牌的代码?

时间:2019-01-22 14:19:38

标签: oauth-2.0 oidc pac4j

我正在尝试在后端(BE)应用程序中设置Pac4j,并且为了配置我的Angular前端(FE),我需要了解它为正确配置后端而期望的工作流程。

我一直在阅读大量文档,并通过Pac4j源进行拖曳,以查找如何在不暴露客户机密的情况下从代码中获取令牌。

所以...

  1. 我尝试登录FE-> BE(不使用身份验证)
  2. 我收到401
  3. 我从401中获取“位置”(Google auth uri)并重定向到它,提供了回调uri
  4. 我登录到Google
  5. 我已使用代码重定向回我的回调uri
  6. (我要向我提出什么要求才能找回令牌?即不需要client_secret的令牌URI在哪里)
    7. >
  7. 我使用检索到的令牌使用BE进行访问并继续正常运行

1 个答案:

答案 0 :(得分:1)

如果您不想使用client_secret,则需要公共客户端。我不确定Google是否支持公共客户端。

恕我直言,更好的方法将是FE中的隐式流。它将生成访问令牌,该令牌将用于BE api调用。

相关问题
最新问题