我正在开展一个Spring rest项目并使用OAuth 2.0来保护这些API免受未经授权的访问。
前端:Angular.js 后端:Spring Rest + Spring Security + Oauth2
一切都很好:
1)我使用oauth跟随uri获得了后端的令牌:
... /的OAuth /令牌grant_type =密码&安培; CLIENT_ID = angularapp&安培; client_secret = angularapp&安培; username=user5@gmail.com&密码= USER5 @ 123
2)我从后端获得了一个令牌并使用该令牌来访问API。
现在我的问题是,一旦我用/oauth/token?grant_type=password&client_id=angularapp&client_secret=angularapp&username=user5@gmail.com&password=user5@123点击后端
这个uri,这就是角度js文件中的页面,任何人都可以使用视图页面源访问它们。
如果需要,请建议一种在js级隐藏这些凭据的方法,一些加密或后端的任何其他工具。
我执行错了吗?请提出正确的方法
由于
答案 0 :(得分:0)
答案在于JWT代币。不要使用URL编码。 在这种情况下,您的Auth0服务器和API服务器都共享一个秘密加密密钥。您可以使用大量JWT框架来避免样板编码。例如:https://github.com/auth0/java-jwt