有没有办法在请求正文中为 Next-Auth 中的令牌调用发送客户端凭据？

Posted 2023-02-19

【中文标题】有没有办法在请求正文中为 Next-Auth 中的令牌调用发送客户端凭据？

【英文标题】：Is there a way to send client credentials in request body for the token call in Next-Auth?

【发布时间】：2022-01-17 05:47:59

【问题描述】：

我正在使用 Next-Auth 实现身份验证，并且我使用的身份验证服务器基于 openid connect。最初，我在邮递员的授权选项卡中使用client-id、client-secret、redirect-url、scope、grant-type=authorization_code 等进行了测试，并将“客户端身份验证”设置为"Send client credentials in body"。通话成功，我收到了所有令牌。

但是，当我将客户端身份验证方法设置为 Send as Basic Auth Header 时，令牌调用失败，因为身份验证服务器的令牌端点期望 client-secret 包含在令牌请求正文中。

现在在 Next-Auth 中，由于同样的原因，调用失败了。我正在使用自定义提供程序，并尝试通过谷歌进行身份验证，效果很好。我查看了 next-auth 文档，但找不到有关配置令牌身份验证方法的任何内容。

【问题讨论】：

您应该将服务器的 clientId 和 clientSecret 发送到令牌端点。不是向您发送令牌的用户的凭据。

通过客户端凭据意味着client_id 和client_secret。

【参考方案1】：

通过更改身份验证服务器设置解决了该问题；客户端身份验证方法更改为 HTTP Basic。我仍然想知道为什么 Next-Auth 没有在其自定义提供程序配置中配置客户端身份验证方法。