我理解oauth的基础知识,之前我曾在应用程序中使用它,但从来没有这样。
我写了一个基于oauth2的api,我正在写一个javascript应用程序(在backbone.js中),我想用它来访问api。
我的问题是我需要获取js app的访问令牌。通常情况下,我会请求example.com/oauth2/token?client_id=<client-id>&client_secret=<client-secret>&....
如果我的客户秘密应该是,秘密,我应该把它放在我的应用程序js中吗?
通过javascript执行oauth2的正确方法是什么?
我的用户/应用程序也是oauth的“来源”,因此我不打算进行任何类型的第三方用户身份验证,因为他们已经登录到网站。
答案 0 :(得分:3)
我认为您应该从服务器获取访问令牌。这样,您的客户端密钥在服务器上保密。换句话说,您的服务器将充当OAuth交换的代理。