我只是对实施OAuth的正确方法提出了一个简单的问题。我没有任何代码或任何东西,只是寻找一些见解。
说我想创建一个显示您的Facebook好友列表的网站。我提供了一个使用Facebook的OAuth进行身份验证的页面。该网站重定向到Facebook,您授权我的网站访问您的Facebook帐户,然后Facebook返回重定向网址中的身份验证令牌。
这就是问题所在。该站点是否应该从JavaScript中的重定向URL拦截auth令牌,然后向facebook发出ajax请求以拉取联系人并填充页面。在这里没有任何东西击中我自己的后端。我想象一些像CORS这样的东西在这里发挥作用。更不用说应用程序客户端和秘密将存储在浏览器中。但我不是100%肯定。
或者是通过重定向网址将身份验证令牌传递到我的后端服务器的正确方法,该网址处理请求以从Facebook获取朋友列表,然后我的后端向我发送联系信息。
感谢您的所有见解。