当我拥有自己的REST API(我自己的意思是它由同一个应用程序托管)时,我如何获得一个JavaScript应用程序的访问令牌,该应用程序在同一个应用程序的前端运行?
如果我使用oauth2客户端凭据方法,前端必须拥有用户的用户名和密码(我不希望用户必须再次输入他们的凭据,因为他们已经通过cookie会话)
我可以在网站的html输出中呈现用户访问令牌,以便我可以通过JavaScript获取它吗?或者这是不安全的吗?
答案 0 :(得分:0)
您必须使用Oauth2的“隐式授权”流方法。这将允许用户进行身份验证,并将在URL的哈希片段中将access_token重定向回应用程序