Kann ich ein OAuth-Token von Backend in meinem Frontend verwenden?
https://stackoverflow.com//questions/22057552
-
23-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich habe gerade die Beschreibung von von GoogleDitit Sample App in Java (
Es ist ein gutes Beispiel, aber der größte Nachteil, den ich bemerkt habe, ist die Tatsache, dass der Benutzer erneut anmelden muss, wenn er eine Datei von seinem Laufwerk auswählen möchte (trotz zuvor autorisierender App zu diesem Zweck).Es ist unbequem, also möchte ich das vermeiden.Die Auswahl einer Datei erfolgt mit der Google Picker-API, die nur in JavaScript verfügbar ist.
Daher möchte ich die Autorisierungsinformationen zwischen meinem Backend und dem Frontend teilen. Kann ich einfach das OAuth-Token passieren, das ich im Backend mit dem Frontend habe?Wenn ja, gibt es eine empfohlene Art, es zu tun?
Lösung
Ja, es ist vollkommen in Ordnung.Das Snooping auf dem von @ tydotg beschriebenen Kunde ist nicht wirklich ein Problem, da das Zugangsstoken genauso spischbar ist, unabhängig davon, ob er auf dem Client oder auf dem Server generiert wurde.
Die einzige echte Herausforderung stellt sicher, dass Sie nur ein Token auf den richtig authentifizierten Benutzer herunterladen.Es gibt eine Reihe von Systemen, mit denen Sie dies tun können, aber zum Beispiel: -
- .
- user authentifiziert in Ihrer App mithilfe von Serverbasierten OAuth.
- server speichert die Benutzer-ID oder E-Mail in einer Sitzungsvariablen
- Wenn Ihr Client ein Token anfordert, verwenden Sie den Sitzungsbenutzer, um ein Token zu generieren
Andere Tipps
Verwenden Sie die Queridentität, um dies zu erreichen:
https://developers.google.com/ccounts/docs/crossclientaututh
Ich bin sicher, dass Sie nicht mit Java vertraut sindp>
Alles auf der Serverseite ist ziemlich sicher und nicht für den Kunden zugänglich.Alles auf der Kundenseite ist jedoch ein faires Spiel.Ich könnte das Element inspizieren und wenn ich wusste, was ich suche, könnte ich das OAuth-Token packen.
