如何解决移动 OAuth2.0 PKCE 流程:如何在不重新登录的情况下更新范围?
我们的移动应用程序使用 OAuth2.0 PKCE Flow 作为身份验证解决方案。由于我们调用各种不同范围的后端微服务,那么每次我们为新功能调用新的微服务时,都需要用户重新登录以获取新范围的新RefreshToken。
但是对于我们公司自己的Mobile App的真实情况,我们不需要scope来控制App是否可以访问新的微服务,事实上,默认设计是我们的Mobile App可以访问所有微服务。我们的用户将使用 SSO 登录,范围是在我们的服务器端定义的,App 端只关心用户是否有效登录,范围不是控制 App 访问微 API 的方法。 但是作为 PKCE 流程,应用端需要添加新范围并重新登录才能让新范围起作用。
我们正在考虑的解决方案:
-
添加只允许手机访问的手机后台服务,所有 移动 API 调用将委托给此后端服务。这不是 很好,因为移动后端充当“网关”,如果只是为了 范围问题。
-
是否有其他最佳实践是移动客户端不需要添加的 范围或事件不包含任何范围,让任何后端 更新或返回具有新范围的令牌的服务。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
