我尝试将Dropbox支持添加到仅限客户端的Javascript应用(http://bbc.godbolt.org/)。我可以告诉我,如果不将我的网站托管在安全的服务器上,我就无法进行身份验证。
出于各种原因,设置HTTPS服务器非常棘手,而且由于我没有使用服务器端点,因此我不明白为什么Dropbox / OAuth要求使用https: //源URL。
我无法找到对此限制的任何引用,但我无法在我的应用的Dropbox配置中配置非HTTPS服务器;如果没有指定我的端点,则客户端身份验证将失败。
我错过了什么吗?
谢谢!
答案 0 :(得分:1)
OAuth 2规范要求HTTPS是有充分理由的......在授权过程结束时返回的访问令牌是纯文本的,如果没有通过安全通道发送,则可能被盗。