Могу ли я использовать токен ОАУТ из Backend в моей интерфейсе?
https://stackoverflow.com//questions/22057552
-
23-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Я только что прошел описание Приложение Dredit Google Dredit в Java (
Это хороший пример, но самый большой недостаток, который я заметил, это тот факт, что пользователь должен войти в систему снова, когда он хочет выбрать файл с его диска (несмотря на то, что ранее разрешил приложение для этого).Это неудобно, поэтому я хотел бы избежать этого.Выбор файла выполнен с помощью API Google Picker, который доступен только в JavaScript.
Следовательно, я хотел бы поделиться информацией о авторизации между моей бэкэнда и Frontend - могу ли я просто передать токену ОАУТ, который у меня есть в бэкэнде к Frontend?Если это так, есть ли рекомендуемый способ сделать это?
Решение
Да, это прекрасно в порядке.Snooping на клиенте, как описано @tydotg, не на самом деле не является проблемой, поскольку токен доступа так же настолько настолько настолько, независимо от того, был ли он сгенерирован на клиенте или на сервере.
Единственная реальная задача - это убедиться, что вы загружаете только токен для правильно аутентифицированного пользователя.Есть несколько схем, которые вы могли бы использовать для этого, но например: -
- Пользователь аутентифицируется в ваше приложение, используя сервер на основе OAuth.
- Сервер хранит идентификатор пользователя или адрес электронной почты в переменную сеанса
- Когда ваш клиент запрашивает токен, вы используете пользователь сеанса для создания токена
Другие советы
Используйте перекрестный идентификатор для достижения этого:
https://developers.google.com/accounts/docs/crossclientauth .
Я уверен, что вы можете (я не слишком знаком с Java, но в рельсах, например, было бы легко), однако причина, по которой вы не захотете это делать, это из-за безопасности.
.Что-нибудь на стороне сервера довольно безопасна и недоступна для клиента.Однако на стороне клиента, это справедливая игра.Я мог бы осмотреть элемент, и если бы я знал, что я искал, я мог бы схватить токен ОАУТ.
