我使用的是spring security + oauth2 + restful framework。此外,客户端是reactjs。
但我对如何保护client_id,client_secret,用户名和密码感到困惑。
我得到的是混合服务器和客户端代码,客户端将请求发布到授权服务器并从授权客户端获取登录页面。然后,资源所有者输入密码和用户名。之后,授权客户端将client_id,client_secret,用户名和密码发布到授权服务器,并获取access_token给授权客户端。最后,授权客户端会将access_token返回给可以访问资源服务器的浏览器客户端。
我说的是对的?任何人都可以帮助我。非常感谢。
答案 0 :(得分:0)
//最后授权客户端将access_token返回给浏览器客户端。
您无法从客户端返回access_token。 access_token应该从服务器生成并使用本地存储或cookie存储在client_side应用程序中。