0
이것은 지난 48 시간 동안 나를 미치게 만든 것입니다.OAuth2 자원 소유자 권한이없는 암시 적 보조금
아이디어는 우리가 관리하는 인증 서버가있는 SPA 응용 프로그램에 대한 암시 적 승인을 갖는 것입니다. 사용자가 자신의 ID 데이터베이스 또는 Google을 통해 로그인해야하는 흐름을 볼 수 있습니다 (예 :).
그러나 Auth 서버는 요청이 유효한 클라이언트 (등록 된 클라이언트)에서만 오는지 다른 시나리오가 있습니다. 예 : 응용 프로그램 (자원)의 새로운 사용자 등록 기능 또는 암호 기억 기능에서. 분명히이 시나리오에서 사용자는 처음에 사용자 이름/암호를 가지고 있지 않기 때문에 로그인하지 않을 것입니다.
이러한 상황에서 암묵적 승인을 사용하면 해커의 사이트가 아닌 유효한 클라이언트에서 요청이 전송되는 것을 어떻게 확인할 수 있습니까?
암시 적 승인을 통해 이것이 가능합니까?
감사합니다.