Sicherheitsüberlegungen

Der ROPC-Flow stellt Anwenderanmeldeinformationen direkt für die Client-Anwendung bereit, wodurch sie inhärent weniger sicher ist als moderne Alternativen. Sie sollte nur in Szenarien verwendet werden, in denen der Client vollständig vertrauenswürdig, streng kontrolliert und sicher verwaltet wird.

Vermeiden Sie die Verwendung dieser Berechtigung in modernen Anwendungen, es sei denn, dies ist absolut erforderlich. Für einen sicheren anwenderbasierten Zugriff wird dringend empfohlen, den Autorisierungscode-Flow mit PKCE zu verwenden, der Anmeldeinformationen vom Client fernhält und sichere Umleitungs- und Tokenverarbeitungspraktiken nutzt.