关键流程授权码 + PKCE:前端生成 `code_verifier` 与 `code_challenge` 提升安全性。ID Token:JWT 格式,需校验签名、`aud`/`iss`/`exp` 等声明。状态与回调:校验 `state` 防 CSRF;严格限制回调 URL。实践要点刷新令牌与会话:设置滚动刷新与最小权限;妥善存储敏感令牌。多端与登出:统一会话与撤销策略;避免前端持久化明文令牌。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
关键流程授权码 + PKCE:前端生成 `code_verifier` 与 `code_challenge` 提升安全性。ID Token:JWT 格式,需校验签名、`aud`/`iss`/`exp` 等声明。状态与回调:校验 `state` 防 CSRF;严格限制回调 URL。实践要点刷新令牌与会话:设置滚动刷新与最小权限;妥善存储敏感令牌。多端与登出:统一会话与撤销策略;避免前端持久化明文令牌。
发表评论 取消回复