我目前的任务是弄清楚如何严格地从客户端javascript充分利用OAuth 2.0提供程序,并担心暴露应用程序的client_secret。这基本上是"密码" OAuth客户端。
hello.js如何一起避免client_secret所有人?
这些提供商是否依赖引荐来源和应用程序域来验证(识别)客户端请求?
答案 0 :(得分:1)
HelloJS默认使用隐式流 - @dandavis在他的评论中描述。如果该服务不支持隐式授权流程,可能它支持OAuth2身份验证代码/显式授权或OAuth1身份验证流程 - 以上所有内容都需要在处理请求时使用隐藏密钥 - HelloJS通过OAuth代理转移请求(参见http://adodson.com/hello.js/#oauth-proxy)代理的工作是完成握手并返回access_token。