Stiamo sviluppando una nuova Angular SPA che sfrutta Keycloak per le sue abilità SSO usando OpenID Connect (OIDC). L'app è attualmente progettata per utilizzare il flusso implicito per recuperare i token di accesso di breve durata tramite l'adattatore JS del keycloak.
Tuttavia, di recente, ho visto alcune e-mail nella mailing list di ietf indica che il flusso di codice di autenticazione deve essere preferito al flusso implicito a causa di problemi di sicurezza relativi alla presenza di token di accesso nella cronologia e / o nei file di registro del browser (se esiste una terminazione / ispezione SSL / etc).
Comprendo i problemi di sicurezza con la visualizzazione di un AT ovunque in un file di registro. Tuttavia, non capisco come il flusso del codice di autenticazione possa essere considerato più sicuro o perché debba essere preferito al flusso implicito. Non ha il token di aggiornamento nel browser / SPA un rischio maggiore per la sicurezza che avere un AT di breve durata in un file di log?
Qual è il meccanismo preferito da utilizzare oggi per una SPA? C'è un approccio consigliato?