授权码流程的appSecret是不是不应该放在前端?
来源:8-6 前端为例详解授权码流程
端碗吹水
2023-11-17
老师有三个问题请教一下:
1、前端属于开放客户端吧,在实际应用中appSecret是不是不应该放在前端?
2、access_token是不是也不能放在前端?因为看微信开放平台之类的文档都有说token不能放到前端
3、授权服务器的登录认证在实际应用中是否做成前后端分离的会好些?像现在多端登录,app还能拉webview,但小程序之类的就不是很方便了
写回答
1回答
-
接灰的电子产品
2023-11-17
1. appsecret 起的作用仅仅是多加一层http basic 编码,放在前端没有问题,严格来说这个和授权码流程无关
2. access token 不是不能存在前端,如果不存在前端你就没法使用它访问 api 了,而是这个要安全的存储在前端,比较好的方法是使用 httponly 的 cookie 存储,这样客户端无法篡改,由服务端下发。也可以前端对 accesstoken 进行再次加密并存储在 session storage
3. 这个和前后端分离无关啊,不一定需要内嵌 webview,可以利用客户端的 deeplink 唤起客户端。 登录注册流程本质是一个有状态的会话,你如果做成无状态会造成其他问题,如果登录过程混合了二次验证,你会不得不以其他的有状态的存储来保存一阶段的信息
00
相似问题