authorization_code模式下client_secret应该前端处理还是后端处理
来源:3-5 API安全机制之认证(2)
WaitAMomentDriver
2020-03-20
jojo老师您好,如题,看完3-5,老师说is-admin中的代码在实际开发中应该由前端提供.但是老师也强调敏感信息不应暴露在js中,所以在authorization_code这个模式下,重定向的地址应该由前端处理还是后端处理,如果前端处理的话,在下次带着code请求token时client_secret就暴露在了js中.如果后端处理的话,这些处理逻辑应该放在网关中吗,还是认证服务器
写回答
1回答
-
JoJo
2020-04-01
我这里说的前端是指前端应用,前端应用是由页面和前端的服务器(一般是nodejs)组成的。所以,在authorization_code这个模式下,重定向的地址应该由前端的服务器(nodejs)来处理。
00
相似问题