oauth - 如何为具有与客户端凭据类似功能的仅前端应用程序获取 OAuth 访问令牌?
问题描述
因此,我可以使用客户端凭据 OAuth 授权类型在后端获取访问令牌,该令牌以客户端本身的名称提供不记名访问权限。
如何为无法保存凭据的仅前端应用程序获取此类令牌?我想象的是一些流程,我首先调用授权端点,然后重定向回注册/受信任的重定向 URL,然后我从令牌端点获取访问令牌。所有这些都使用 PKCE。主要区别在于授权端点重定向没有用户参与,没有用户同意,什么都没有。
这是标准的东西吗?
解决方案
我意识到这没有任何意义。虽然重定向确实有助于对应用程序进行身份验证,但您不能相信前端用户没有恶意并滥用应用程序在其浏览器中获取的令牌。因此,或者您以用户的名义执行前端操作,或者您通过验证请求的后端路由请求,然后以应用程序(客户端)的名义发出调用。
推荐阅读
- nlp - 在 R text2vec 包中 - 如何将 LDA 模型生成的主题分配给相关文档
- machine-learning - Batchnorm 中的错误反向传播更新
- python - 如何使用“False”将布尔掩码的大小加倍 - Tensorflow 中的元素
- php - 如何使用 mysqli prepare 语句使用电子邮件或用户名(不是 PDO)登录?
- php - 问:如何在结帐中添加自定义表单字段?
- webpack - 使用 Laravel Mix 时如何包含 webpack 插件?
- java - 如何使用 Selenium 关闭 Chrome 的“下载”对话框(通过单击“取消”)
- html - Add close button to popup (outside overflow: hidden element)
- git - 没有远程名称的 git ls-remote
- android - 在 ViewPager 片段中的 onPause() 不起作用