Какой грант авторизации использовать для инструментария Django Oauth2?

Я планирую развернуть отдельный сервер ресурсов и сервер авторизации, оба работают на django oauth toolkit. Предполагается, что клиенты или приложения, использующие наши API сервисы, находятся в одной организации, и будут размещать свой фронтенд для использования наших API, и пользователи будут регистрироваться на их стороне, а нам нужно будет только авторизовать этих клиентов (которые запускают приложение).

Какой тип гранта следует использовать?

RFC 7636: Доказательный ключ для обмена кодами

PKCE (RFC 7636) - это расширение потока Authorization Code flow для предотвращения атак CSRF и инъекций кода авторизации.

PKCE не является заменой секрета клиента, и PKCE рекомендуется даже в том случае, если клиент использует секрет клиента.

Примечание: Поскольку PKCE не является заменой аутентификации клиента, он не позволяет рассматривать публичного клиента как конфиденциального.

PKCE изначально был разработан для защиты потока кода авторизации в мобильных приложениях, но его способность предотвращать внедрение кода авторизации делает его полезным для любого типа клиента OAuth, даже для веб-приложений, использующих клиентский секрет.

Вернуться на верх