我已经使用OAuth2保护的RESTful Web服务实现了Spring Boot后端应用程序。
现在我正在研究应该用AngularJS编写的客户端应用程序。
在开发后端应用程序期间,为了先前对用户进行身份验证/授权测试,我使用了以下命令(例如使用curl):
curl -X POST -vu clientapp:123456 http://localhost:8080/oauth/token -H "Accept: application/json" -d "password=password1&username=username1&grant_type=password&scope=read%20write&client_secret=123456&client_id=clientapp"
现在我正在思考客户端(来自AngularJS应用程序)的用户身份验证/授权方法。
我认为将client_secret和client_id等客户端(互联网浏览器)信息放在某处是安全的。我对么 ?如果是这样,请告诉我如何使用我的OAuth2和AngularJS对用户进行身份验证的正确方法。
答案 0 :(得分:1)
OAuth 2.0支持不同的Grant-Types(有时称为"流")。 OAuth为您的用例提供了特殊的Grant-Type:implicit grant - 它可以在没有客户机密的情况下运行。