我有一个django应用程序(称为Client),该API调用了另一个django应用程序api(Master)的API,并且我正在使用OpenID Connect(通过django-keycloak)登录用户。我的问题是如何安全地将用户访问令牌添加到客户端站点到主站点上的ajax调用的标头中。
显而易见的解决方案是在我的模板中添加以下内容:
"beforeSend": function (xhr) {
xhr.setRequestHeader('Authorization',
"Bearer {{ user.token }}");
},
但是暴露令牌似乎是个坏主意。
我还可以在客户端系统中创建一个api,在主系统中调用该API,并在幕后添加令牌,但这将使每次往返的时间增加一倍,而且似乎是个坏主意。
此问题的最佳解决方案是什么?