如何在使用Javascript SDK时隐藏访问令牌和客户端ID?

时间:2014-07-22 09:43:29

标签: oauth-2.0 yammer

这是我在这里的第一篇文章。我正在探索yammer Oen图,并发现我可以代表用户从我的应用程序发布,如果我有该用户的访问令牌并生成访问令牌,则文档中给出了重定向URL。我的问题是,当我将用户重定向到这个oAUth URL时,在屏幕上可以看到app id,yammer要求提供用户凭据,之后当Yammer重定向回我的重定向URL时,用户访问令牌非常明显。我在这里看到安全问题,因为最终用户可以在查询字符串中使用App ID和访问令牌,在这种情况下,此用户可以使用APP ID和访问令牌来阻止我的应用,或者他可以从其他用户获取访问令牌来执行此操作。关于它的任何观点?

注意:我不想使用服务器端API,因为这样我无法提供最终用户授权我的应用在yammer中发布的UI。

1 个答案:

答案 0 :(得分:1)

用户始终能够看到自己的oauth令牌,而用户对用户的oauth令牌所做的任何事情都将发生在该用户自己的上下文中,而不是应用程序的上下文中。所以不要担心用户能够看到他们自己的oauth令牌。

您的应用ID与您在https://developer.yammer.com/oauth2-quickstart/的oauth设置说明末尾生成的应用的令牌不同。您可以在不影响应用的情况下查看您的应用ID。把它想象成用户名。它是您根据要保密的指令生成的令牌。把它想象成密码。

https://developer.yammer.com/authentication/#a-requests提供了更好的文档。