我正在构建一个MEAN JS应用程序,我想在客户端angularjs应用程序中保护我的应用程序clientId和客户端密钥。我可以在哪里存储这些细节。如何为此提供安全性?
对于用户登录,我必须提供这些并且需要获取访问令牌...这对我有帮助..
答案 0 :(得分:0)
在客户端保持client_secret,你基本上破坏了它背后的整个想法。
因此,谷歌要求客户端应用程序进行额外的验证通话Google OAuth docs。
如果您能够从服务器端发出请求,则在从oauth提供程序接收令牌后将其传递给服务器端并发送令牌和client_secret以接收用户的数据。
实际上,这与Google的hybrid auth非常相似,后者被认为比普通的oauth更安全