我有一个带有Backbone前端的Rails应用程序,我存储了用户的Google身份验证令以便以后重复使用。从安全角度来看,将其传递给Javascript代码的最佳方法是什么?到目前为止,我只提出了将其嵌入页面的方法。还有更安全的选择吗?
答案 0 :(得分:1)
我把它放在一个饼干里。其他选项(按安全性降序排列): -
答案 1 :(得分:0)
您可以在js代码中使用它。只要启用了HTTPS并强制客户端使用它,这对您的应用程序来说就不会是安全威胁。否则,攻击者可以通过中间人攻击获取客户端的api密钥。
Html内容只能由相关客户访问,他们也可以从您的应用中查看他/她自己的密钥。但是,如果您考虑将API密钥更改为另一个客户端篡改的用户。您可以构建代理API。
客户请求--->你的API --->将请求重定向到Google
在这种情况下,您无需向客户端发送API密钥。您可以从数据库获取api密钥并构建并向Google驱动器发送请求。