我正在尝试构建一个基于Electron的应用程序,该应用程序允许登录的用户与依赖OAuth2进行授权的第三方API进行交互。
请注意,我不计划从客户端本身授权用户(只是因为如果用户进行了多次安装,我希望他们能够使用其链接的服务而无需再次授权),而是从客户端将连接到的服务器端应用程序中获取,该应用程序将使用长期的刷新令牌。
我对安全性的担心是,Electron应用程序上的会话是否会受到影响。那些可以被嗅探或劫持吗? (想象一下,我没有运行任何第三方代码,而是遵循https://github.com/electron/electron/blob/master/docs/tutorial/security.md上的所有做法)。 我是否还应该使用OAuth针对保留长期刷新令牌的服务器端应用程序授权客户端应用程序?