gpt4 book ai didi

javascript - Javascript 应用程序中 OAuth 2 身份验证的最佳安全实践

转载 作者:行者123 更新时间:2023-12-03 04:42:06 25 4
gpt4 key购买 nike

我有一个 REST API,带有 OAuth 2 身份验证机制(Symfony 3 应用程序上的 FOSOAuthServerBundle)。

要获取/刷新 token ,URL 如下所示:https://api.example.com/oauth/v2/token?grant_type=[password|refresh_token]&client_id=[client_id]&client_secret=[client_secret ]&用户名=[用户名]&密码=[密码]

这对于服务器到服务器的调用非常有效,但不能应用于 Javascript 应用。

如何从前端应用程序实现 API Oauth 2 身份验证? (服务器上不存在 JWT)。

最佳答案

在您描述的上下文中,最好的选择(如果无法更改 API)是创建一个瘦代理来为您的 token 添加另一层保护。

鉴于您可能是一名 JavaScript 开发人员,您可以轻松使用 AWS API Gateway + Lambda 来创建它,而无需服务器。

A server dies every time someone implements OAuth in a single page is web-app. Stop the genocide! Use a server side proxy! Act now!

— Alex Bilbie (@alexbilbie) (https://github.com/alexbilbie/alexbilbie.github.com/blob/master/_posts/2014-11-11-oauth-and-javascript.md)

关于javascript - Javascript 应用程序中 OAuth 2 身份验证的最佳安全实践,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43043574/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com