Posso usare un token OAuth dal backend nel mio frontend?
https://stackoverflow.com//questions/22057552
-
23-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Ho appena attraversato la descrizione di App Dredit di Google App in Java (
È un buon esempio, ma il più grande inconveniente che ho notato è il fatto che l'utente è richiesto di accedere nuovamente quando vuole scegliere un file dalla sua unità (nonostante sia autorizzato in precedenza l'app per farlo).È scomodo quindi mi piacerebbe evitarlo.Scegliere un file viene eseguito utilizzando l'API di Google Picker che è disponibile solo in JavaScript.
Quindi, vorrei condividere le informazioni di autorizzazione tra il mio backend e Frontend - posso semplicemente passare il token Oauth che ho nel backend al frontend?Se è così, c'è un modo consigliato per farlo?
Soluzione
Sì, è perfettamente ok.Snooping al cliente come descritto da @tydotg non è davvero un problema poiché il token di accesso è altrettanto snoopable, indipendentemente dal fatto che sia stato generato al cliente o al server.
L'unica vera sfida è assicurarsi di scaricare solo un token sull'utente correttamente autenticato.Ci sono un certo numero di schemi che potresti usare per farlo, ma ad esempio: -
- .
- L'utente autentica alla tua app utilizzando Server Based Oauth.
- Server memorizza l'ID utente o l'e-mail in una variabile di sessione
- Quando il tuo client richiede un token, si utilizza l'utente della sessione per generare un token
Altri suggerimenti
Usa l'identità croce per ottenere questo:
https://devevelopers.google.com/accounts/docs/crossclientAuth .
Sono sicuro che puoi (non sono troppo familiare con Java, ma in rotaia, ad esempio, sarebbe facile), tuttavia la ragione per cui vorresti fare questo è a causa della sicurezza.
.Qualsiasi cosa sul lato server è piuttosto sicuro e non accessibile al client.Qualsiasi cosa sul lato client, tuttavia, è un gioco equo.Potevo ispezionare l'elemento e se sapessi cosa stavo cercando di prendere il token Oauth.
