<div dir="ltr"><div>We support an implicit grant flow, but it requires being able to create BrowserID assertions (which requires an FxA auth server session token, which requires the user’s FxA password at some point). The use case we’re currently targeting with implicit grants is when the user has logged in to one of our user agents (Firefox Desktop, Fennec, FxOS, etc) and needs to access FxA attached APIs (e.g., reading list, profile data, etc.). We’re not so much focused on supporting general server-less apps yet, particularly third-party ones. What use case are you trying to address?</div><div><br></div><div>FYI, Here’s the API endpoint in the OAuth server to use implicit grants: <a href="https://github.com/mozilla/fxa-oauth-server/blob/master/docs/api.md#post-v1authorization">https://github.com/mozilla/fxa-oauth-server/blob/master/docs/api.md#post-v1authorization</a></div><div><br></div><div>-chris</div><div><br></div><div>P.S. Always cc a list with these kinds of questions, please!<br></div><div><br></div>+dev-fxacct<div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jan 7, 2015 at 2:45 AM, Tarek Ziade <span dir="ltr"><<a href="mailto:tarek@mozilla.com" target="_blank">tarek@mozilla.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Hey<br><br>I am wondering what's the flow to use for full client-side apps that can't safely keep a client_secret<br><br></div>It's called "implicit grant" in OAuth2<br><div><br><a href="http://tools.ietf.org/html/rfc6749#section-2.1" target="_blank">http://tools.ietf.org/html/rfc6749#section-2.1</a><br><br></div><div>But I am not sure what's the exact thing to do with FxA<br><br></div><div>Thanks!<span class="HOEnZb"><font color="#888888"><br></font></span></div><span class="HOEnZb"><font color="#888888"><div>Tarek<br></div></font></span></div>
</blockquote></div><br></div>