我想创建一个前端应用程序。该应用程序应连接到Strava API。他们在authentication documentation中说,要获得access_token,需要客户密码。我不想在我的JavaScript代码中存储客户机密。
我找到了blog post,他们在其中解释了不需要传递客户机密的方式,但是这种方式不起作用,我会收到授权错误。
是否可以在没有客户端机密的情况下获取access_token?如果没有,什么是最佳解决方案?
答案 0 :(得分:1)
您正在寻找隐式授予流(两腿)-https://tools.ietf.org/html/rfc6749#section-1.3.2
Strava似乎仅实现授权代码授予流程(三腿),这更安全,并迫使您拥有一个持有机密以完成握手的服务器-https://tools.ietf.org/html/rfc6749#section-4.1