Как hello.js избегает хранения client_secret?
В настоящее время я нахожусь на миссии выяснить, как адекватно использовать поставщика OAuth 2.0 строго из клиентского javascript и беспокоюсь о разоблачении приложения client_secret, Который по сути является "паролем" клиента OAuth.
Как hello.js избегает client_secret все вместе?
Полагаются ли эти провайдеры на реферер и домен приложения для проверки (идентификации) клиентских запросов?
1 ответ
HelloJS использует неявный поток по умолчанию - @dandavis описывает в своем комментарии. Если служба не поддерживает поток неявного предоставления, возможно, он поддерживает код проверки подлинности OAuth2 / поток явного предоставления или проверки подлинности OAuth1 - все вышеперечисленное требует использования скрытого секретного ключа для обработки запросов - HelloJS перенаправляет запрос через прокси-сервер OAuth (см. http://adodson.com/hello.js/) работа прокси-сервера состоит в том, чтобы завершить рукопожатие и вернуть access_token.