我正在尝试为 oAuth2 架构实现后端以允许对移动应用程序进行授权。最佳实践似乎是PKCE与authorization code流程一起使用。这降低了client_secret在应用程序本身上存储 a 的风险。
我一直在看这张图以供参考:
- 网上似乎有很多示例显示 db 的 db
Auth0 tenant,但似乎并没有太多合并 PKCECode Challenge和Code Verifier. 和all是如何相互关联的,它们是如何在图表的第 8 阶段验证Code Challenge的?Code VerifierAuthorisation CodeAuth0 Tenant - 这就引出了我的下一个问题,即设计一个关系数据库来保存这些信息。尝试在 Auth0 租户上声明授权的用户一次只会
Code Challenge发送一个,那么此信息是否可以保存在用户表中?我一直在寻找这个脚本的想法。 - 在设计这个方面,
Auth0 Tenant server从中分离出来有什么好处authentication server?我计划实施 Auth0 Tenant 来对应用程序进行身份验证(我在这个意义上拥有它)。
将来,我计划将其他社交媒体Auth0 Tenants作为身份验证。
参考: