OAuth 2.0 нима
OAuth 2.0 авторизация протоколи. Тўрт иштирокчи: фойдаланувчи, илова, авторизация сервери ва ресурс сервери. Илова ҳеч қачон пароль кўрмайди.
Authorization code flow
Энг хавфсиз flow. Access token фақат backend ларда алмашади, браузерга чиқмайди. Sayt.uz да барча social login шу flow орқали ишлайди.
PKCE
Mobile ва SPA илова учун client_secret ўрнига code_verifier ишлатилади. Authorization code ўғирланса ҳам, verifier сиз фойдасиз.
Sayt.uz амалиёт
Sayt.uz да барча провайдерлар учун code flow, public client учун PKCE мажбурий. Access token Redis да 1 соат, refresh token шифрланган PostgreSQL да.