使用仅来自http的客户端Javascript访问Dropbox上的文件

时间:2014-05-16 14:22:18

标签: javascript authentication dropbox

我尝试将Dropbox支持添加到仅限客户端的Javascript应用(http://bbc.godbolt.org/)。我可以告诉我,如果不将我的网站托管在安全的服务器上,我就无法进行身份验证。

出于各种原因,设置HTTPS服务器非常棘手,而且由于我没有使用服务器端点,因此我不明白为什么Dropbox / OAuth要求使用https: //源URL。

我无法找到对此限制的任何引用,但我无法在我的应用的Dropbox配置中配置非HTTPS服务器;如果没有指定我的端点,则客户端身份验证将失败。

我错过了什么吗?

谢谢!

1 个答案:

答案 0 :(得分:1)

OAuth 2规范要求HTTPS是有充分理由的......在授权过程结束时返回的访问令牌是纯文本的,如果没有通过安全通道发送,则可能被盗。