ブラウザベースのアプリ向けの OAuth 2.0

tools.ietf.org/html/draft-ietf-oauth-browser-based-apps

ブラウザベースのアプリ向けの OAuth 2.0 では、OAuth 2.0 を使用する SPA とブラウザベースのアプリケーションのセキュリティ要件とその他の推奨事項について説明しています。

特に、Implicit フローを使用する代わりに PKCE 拡張機能 と Authorization Code フローを使用することを推奨しています。

その他のリソース

• OAuth の暗黙的許可の使用を停止すべき理由（Torsten Lodderstedt）
• OAuth 2.0 セキュリティの最善の現状、第 2.1.2 節
• シングルページアプリ（oauth.com）
• シングルページアプリ（aaronparecki.com）