OAuth
- Authorization Code Flow
- Authorization Code Flow with Proof Key for Code Exchange (PKCE)
-
Auth0の資料はIdP(Identity Provider; Twitter, Facebookなど)とAuth0特有の話とOAuthの話が混在していてわかりにくい
- Implicit Flow
- 使うべきではない
- client secretを使わない
- How and why is Google OAuth token validation performed? - Stack Overflow
-
[OAuth 2.0: Implicit Flow is Dead, Try PKCE Instead Postman Blog](https://blog.postman.com/pkce-oauth-how-to/)
- Understanding OAuth 2 with PKCE in Single-Page Applications (2020)
- 実装の詳細はこれがわかりやすい
- OAuth2ではpublic/confidentialに関係なくPKCEに統一された?
- SPAなど、public client
- client secret を安全に保存できない
- netlify-labs/oauth-example: Example of how to use Netlify OAuth Applications
-
[OAuth 2.0 Making requests on behalf of users Docs Twitter Developer Platform](https://developer.twitter.com/en/docs/authentication/oauth-2-0/user-access-token) - トークンの保存