我在Mule中使用了一些使用OAuth并使用authorizre消息处理器授权连接器的云连接器。在使用服务提供程序后,我可以使用OauthAccessTokenId获取访问令牌以供将来调用。
我通过Javascript与此进行交互。我有一个登录按钮,在Mule中运行授权流程。然后我有一个单独的流程来调用api方法。但是如何将oauthaccesstokenid传递回auth流程中的Javascript应用程序,以便将其传递回Mule以调用API?
在授权处理器之后,我正在进行302重定向回我的javascript应用程序并将oauthaccesstokenid存储在cookie中。这是最好的方法吗?关于安全的任何想法也在吗?
答案 0 :(得分:0)
注意:假设您正在谈论OAuth2。
您所描述的是OAuth2 Implicit Grant有用的典型场景:使用此授权类型,访问令牌通过请求片段提供给Web浏览器(因此它承载的JavaScript代码)。
我不确定云连接器本身是否支持此功能。如果没有,那么寻找一个cookie也会有效。
就安全性而言,我可以看到的唯一问题是使用cookie而不是在片段中传递令牌,这是它将持久存储在客户端上。这说这些代币通常是短暂的(值得检查你收到的代币的TTL是多少)所以攻击面不会很宽。