Quel est le flux oauth2 correct pour une application de bureau? En plus d'une application de bureau, j'ai une interface graphique Web SPA qui utilise le flux implicite. Là, cela n'a pas d'importance si le client redirige après 3600 vers le fournisseur d'identité pour émettre un nouveau jeton d'accès. Mais l'application de bureau doit fonctionner 24 heures sur 24, 7 jours sur 7 ou 24 heures sur 24, 7 jours sur 7. Il doit donc actualiser automatiquement le jeton d'accès via un refresh_token. Mais puisque le flux implicite ne fournit pas de jetons d'actualisation, il s'agit probablement du mauvais flux pour une application de bureau, n'est-ce pas?oauth2 openid connect application de bureau javascript (électron)
Je suppose que j'ai besoin du flux de code d'autorisation, qui fournit un refresh_token. Mais les demandes d'authentification nécessitent un redirect_uri. Disons que je veux utiliser Google comme fournisseur OpenID. Avec google, il semble que je ne puisse pas enregistrer les informations d'identification du client avec un schéma d'URI personnalisé (https://developers.google.com/identity/protocols/OpenIDConnect). Qu'est-ce que le travail est d'enregistrer par exemple http://localhost:9300, qui pourrait théoriquement être géré par l'application.
A
Quel est le flux oauth2 correct pour une application de bureau pour recevoir un refresh_token?
B
Puis-je attraper le redirect_uri via un schéma d'URI personnalisé sans utiliser le flux implicite (Google IdP)? Il est beaucoup plus facile d'écouter un schéma uri personnalisé que d'écouter sur un port tcp local.
C
Ceci est plus une question générale. Habituellement, les applications de bureau sont des applications publiques, donc je ne devrais pas inclure client_secret non? Ainsi, le seul flux qui resterait est le flux implicite. Mais comment puis-je renouveler les jetons d'accès selon les spécifications sans déranger l'utilisateur de bureau tous les 3600s? Dans mon cas, je pourrais publier l'application localement, donc pas publique, mais comment est-ce pour une application publique?
Oui ça marche inversé, j'ai été confondu avec la documentation de google puisqu'ils l'ont mentionné pour les applications natives iOS, Android et Windows et il n'était pas clair pour moi que cela puisse aussi être utilisé pour les applications de bureau créer des informations d'identification google oauth pour le type: "Autre" et revserse votre client_id comme redirect_uri) – raffis