Javascript应用程序中OAuth 2身份验证的最佳安全实践

时间:2017-03-27 10:08:58

标签: javascript symfony oauth fosoauthserverbundle

我是一个REST API,具有OAuth 2身份验证机制(Symfony 3应用程序上的FOSOAuthServerBundle)。

要获取/刷新令牌,网址如下:https://api.example.com/oauth/v2/token?grant_type=[password|refresh_token]&client_id=[client_id]&client_secret=[client_secret]&username=[username]&password=[password]

这适用于服务器到服务器的调用,但不能应用于Javascript应用程序。

如何从前端应用程序实施API Oauth 2身份验证? (服务器上没有JWT)。

1 个答案:

答案 0 :(得分:1)

在您描述的上下文中,最佳选择(如果无法更改api)是创建一个瘦代理,为您的令牌添加另一层保护。

鉴于您可能是一名javascript开发人员,您可以轻松使用AWS API Gateway + Lambda来创建它而无需服务器。

  

每次有人在单个页面中实施OAuth时,服务器就会死亡   web应用程序。停止种族灭绝!使用服务器端代理!立即行动!

     

- Alex Bilbie(@alexbilbie)(https://github.com/alexbilbie/alexbilbie.github.com/blob/master/_posts/2014-11-11-oauth-and-javascript.md

相关问题
最新问题