Какой запрос следует сделать для обмена кода на токен в рабочем процессе Авторизация кода?

Question

Какой запрос следует сделать для обмена кода на токен в рабочем процессе Авторизация кода?

Я пытаюсь настроить Pac4j в своем внутреннем приложении (BE), и для того, чтобы настроить мой угловой интерфейс (FE), мне нужно понять рабочий процесс, который он ожидает, для правильной настройки внутреннего интерфейса.

Я читал множество документации и просматривал исходники Pac4j, чтобы узнать, как получить токен из кода, не раскрывая секрет клиента.

Так...

Я пытаюсь войти в FE->BE (без аутентификации)
Я получаю 401
Я беру 'Location' (аутентификацию Google) из 401 и перенаправляю на него, предоставляя URI обратного вызова
Я захожу в гугл
Я перенаправлен обратно на мой обратный вызов URI с кодом
(Какой запрос я делаю для BE, чтобы получить токен обратно? Т.е. где находится URI токена, который не требует client_secret)
Я использую полученный токен для доступа и продолжения в обычном режиме, используя BE

0

oauth-2.0 oidc pac4j

Источник

user2075524 22 янв '19 в 14:19

1 ответ

Решение

Другие вопросы по тегам oauth-2.0 oidc pac4j

user3348604 22 янв '19 в 16:30 2019-01-22 16:30 · Accepted Answer · 2019-01-22 16:30

Если вы не хотите использовать client_secretТогда вам нужен публичный клиент. Я не уверен, что публичный клиент поддерживается Google.

ИМХО лучшим подходом будет неявный поток в ИП. Он сгенерирует токен доступа, который будет использоваться для вызовов BE API.