问题描述
This article 解释了如何注册 Web 应用程序。目前尚不清楚是否通过 Web,它包括 SPA(Angular 和 React)和 API(类似于 Dotnet 核心 Web API)。即使这个 sample application on 也不包含秘密。
我的理解是秘密就像应用程序的密码。但是,哪种类型的应用程序需要它,服务器端 Web 应用程序(ASP.NET MVC、ASP.NET WEB API)、像 Angular 这样的 SPA?
感谢您的帮助
解决方法
永远不要在 SPA 中隐藏秘密。 任何查看该应用程序的人都可以看到它。 这同样适用于任何其他“公共客户端应用程序”,即在用户设备上运行的应用程序。
后端服务器应用程序在需要向身份提供者进行身份验证时需要机密或证书。 因此,如果后端应用需要获取访问令牌,则需要一个秘密。
例如,ASP.NET Web API 可能不需要机密。 如果它不调用任何下游 API,它只需要验证传入的令牌,它可以在没有秘密的情况下完成。