我可以从前端中的后端使用OAuth令牌吗?
https://stackoverflow.com//questions/22057552
-
23-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我刚刚通过了谷歌的dredit示例app 在Java中(
这是一个很好的例子,但我注意到的最大缺点是当他想从他的驱动器中挑选文件时需要再次登录(尽管先前授权应用程序来执行此操作)。这不方便,所以我想避免这种情况。选择文件是使用谷歌选择器API完成的,该API仅在JavaScript中提供。
因此,我想在我的后端和前端之间分享授权信息 - 我可以通过我在前后的后端拍摄的OAuth令牌吗?如果是这样,有建议的方式做到吗?解决方案
是的,它完全没问题。如@tydotg所描述的客户端窥探不是一个问题,因为访问令牌就像稳定一样,无论它是在客户端还是在服务器上生成。
唯一的真正挑战是确保您只能将令牌下载到正确的经过身份验证的用户。您可以使用许多方案来执行此操作,但例如: -
- 用户使用基于服务器的OAuth对您的应用进行身份验证。
- 服务器在会话变量中存储用户ID或电子邮件
- 当您的客户端请求令牌时,您使用会话用户生成令牌
其他提示
我相信你可以(我不太熟悉Java,但在铁路上,例如,它很容易),但是你不想这样做的原因是因为安全性。
服务器端上的任何东西都非常安全,无法访问客户端。然而,客户端的任何东西都是公平的比赛。我可以检查这个元素,如果我知道我在寻找什么,我可以抓住OAuth令牌。
不隶属于 StackOverflow
