我正在建立一个将使用api的客户端。为此使用Laravel和vuejs。后端是它自己的应用程序,前端客户端是它将在vuejs上运行的自己的应用程序。
现在,当我想将用户登录到后端时,我必须从客户端发送此数据:
form: {
'grant_type' : 'password',
'username': 'student@gmail.com',
'password': 'pass1234',
'provider': 'student',
'client_id': "2",
'client_secret' : 'fXz4bILqz5CnDjFCvXpw7RZWLgWXxsTa0LN1'
}
像这样在客户端中保存秘密有多聪明或危险?现在每个人都可以看到它,他们可以某种方式使用它吗?如果它是危险的,或者不建议这样做,那么其他人怎么做呢?如果您不是从客户端发送oauth client_secret,那么您将其保存在哪里?
如果有人有构建api:s的经验,我想知道为什么在这里提到提供程序是因为我使用的是多重身份验证护照,所以我可以通过不同的提供程序对不同类型的用户进行身份验证。但是我的问题是关于将client_secret存储在前端的javascript中的安全性吗?