我在 React 中有一个SPA来调用外部API,如:
GET https://myapi.com/api/items/1或GET https://myapi.com/api/items/。
在myapi.com服务器中,使用express-jwt和auth0-api-jwt-rsa-validation使用 oAuth2 保护路由,只有Header: { Authorization: 'bearer ' + token }的儿子才能以状态回复200。
如果我将从服务器端应用程序中使用这些调用,我可以从token通过POST https://myapi.auth0.com/oauth/token获取client_id, client_secret, grant_type and audience。但由于应用程序是客户端,我认为这是一种最好的方法,避免公开client_secret等等。
我尝试了implicit-grant方法,但我正在处理callback_uri和其他令人困惑的事情。
主要想法是允许应用,比如https//myapp.com/list使用API GET https://myapi.com/api/items(没有用户,没有密码)。
要点:
oAuth2的位置和位置? (onEnter上的componentDidMount顶级路线?)和