Какой грант авторизации использовать для инструментария Django Oauth2?
Я планирую развернуть отдельный сервер ресурсов и сервер авторизации, оба работают на django oauth toolkit. Предполагается, что клиенты или приложения, использующие наши API сервисы, находятся в одной организации, и будут размещать свой фронтенд для использования наших API, и пользователи будут регистрироваться на их стороне, а нам нужно будет только авторизовать этих клиентов (которые запускают приложение).
Какой тип гранта следует использовать?
RFC 7636: Доказательный ключ для обмена кодами
PKCE (RFC 7636) - это расширение потока Authorization Code flow для предотвращения атак CSRF и инъекций кода авторизации.
PKCE не является заменой секрета клиента, и PKCE рекомендуется даже в том случае, если клиент использует секрет клиента.
Примечание: Поскольку PKCE не является заменой аутентификации клиента, он не позволяет рассматривать публичного клиента как конфиденциального.
PKCE изначально был разработан для защиты потока кода авторизации в мобильных приложениях, но его способность предотвращать внедрение кода авторизации делает его полезным для любого типа клиента OAuth, даже для веб-приложений, использующих клиентский секрет.