Sì. L'utilizzo del lato client del flusso del codice di autorizzazione avrà quasi lo stesso effetto dell'utilizzo del flusso di concessione implicito.
Ci saranno alcune richieste extra ma il risultato finale sarà lo stesso con alcuni avvertimenti:
- La specifica del flusso implicito dice che il token deve essere nel frammento dell'URL in modo che non lasci lo user-agent. Non lo avrai con il flusso di codice
- Non dovresti abilitare
refresh_tokens
per il client.
Si applicano anche gli stessi problemi di sicurezza previsti per il flusso implicito. Vedi RFC6748 sezione 10.16 :
Authenticating resource owners to clients is out of scope for this
specification. Any specification that uses the authorization process
as a form of delegated end-user authentication to the client (e.g.,
third-party sign-in service) MUST NOT use the implicit flow without
additional security mechanisms that would enable the client to
determine if the access token was issued for its use (e.g., audience-
restricting the access token).
E sul fronte delle credenziali del cliente eri già coperto:
Native applications that use the authorization code grant type SHOULD
do so without using client credentials, due to the native
application's inability to keep client credentials confidential.
Nota a piè di pagina : assicurati di leggere RFC6819 sezione 4.4.2 per evitare altre insidie di flusso implicite comuni.