阅读几篇文章后,我有点困惑,基本上假设您有一个使用gmail登录进行身份验证的Web应用程序。将google访问令牌存储在本地存储中并通过标头发送以在后端API中进行验证是否是一种好习惯?还是应该使用单独的机制来处理api级访问?
答案 0 :(得分:1)
在前端将令牌保存在哪里都没有关系,因为即使在您要交换令牌的情况下,也需要将其与请求一起发送。 (所有放置在前端的数据都是不安全的)
因此,每个人都可以在检查器网络标签中访问它们。
关于安全性的问题时,第一个规则:
P.S:我刚刚打开Authorizing Your App with Gmail,并说:
开始使用: 要开始使用,请参阅实施服务器端授权。
因此,您需要在将保护所有代币安全的后端处理所有授权操作。