我假設您對 URL 中的 ID 令牌有一些安全問題...

在這種情況下，我可以看到兩種降低風險的方法：

• 確保 OIDC 提供程序使用 URL 片段而不是通過查詢字符串重定向到您的應用程序。這確保參數不會發(fā)送到服務器，它們可能最終會出現在日志中，并且應該已經是提供者對隱式流的默認響應模式。如果需要，您可以使用response_mode=fragment它來強制執(zhí)行它。

• 您可以注冊“公共”客戶端，但仍使用授權代碼流從令牌端點獲取 ID 令牌。在這種情況下，您不會client_secret向令牌端點提供 a （因為客戶端是公共的）。您也可以考慮在此流程中使用PKCE。