authorization_code模式下client_secret应该前端处理还是后端处理

来源:3-5 API安全机制之认证(2)

WaitAMomentDriver

2020-03-20

jojo老师您好,如题,看完3-5,老师说is-admin中的代码在实际开发中应该由前端提供.但是老师也强调敏感信息不应暴露在js中,所以在authorization_code这个模式下,重定向的地址应该由前端处理还是后端处理,如果前端处理的话,在下次带着code请求token时client_secret就暴露在了js中.如果后端处理的话,这些处理逻辑应该放在网关中吗,还是认证服务器图片描述

写回答

1回答

JoJo

2020-04-01

我这里说的前端是指前端应用,前端应用是由页面和前端的服务器(一般是nodejs)组成的。所以,在authorization_code这个模式下,重定向的地址应该由前端的服务器(nodejs)来处理。

0
0

Spring Cloud微服务安全实战 可落地的安全方案

从API到复杂微服务场景,实战部署可落地的安全方案。

1029 学习 · 370 问题

查看课程