現在、OAuth2 認証プロバイダーへのタブを開くシングルページ アプリがあります。ユーザーが資格情報を入力すると、サーバーはタブを閉じる応答を送信します。サーバーは、セッションを設定することにより、クライアントが認証されたことを「認識」します。
ただし、実際にはセッションを使用したくありません。アプリケーションをステートレスに保ちたい。サーバーが検証できるoauth2ベアラートークンを使用することで、これが可能になるはずだと読みました。
クライアントはどのようにしてそのようなベアラー トークンを取得できますか? ユーザーがサービスプロバイダーのログインページで資格情報を入力できるようにiframeまたはタブを使用すると、JavaScriptが応答を取得できませんでした。
外部プロバイダー (セッションなし) を使用した OAuth2 は、Web の現在のクライアント/サーバー アーキテクチャでは不可能だというのは本当ですか?