在web应用程序中使用OAuth2密码流安全吗?
在web应用程序中使用OAuth2密码流安全吗?
提问于 2018-10-27 03:03:45
我有一个基于Vue的网络应用程序。我的授权服务器和资源服务器都是基于Security的一个程序。
但是,我需要将client_id和client_secret放在URL参数中,以便从/oauth/token端点获取令牌,这样我就可以从web应用程序登录。
公开我的网络应用程序的client_id和client_secret合适吗?
我是否以错误的方式使用Security / OAuth2?
回答 1
Stack Overflow用户
回答已采纳
发布于 2018-10-29 18:30:00
你的担心是正确的-客户端的秘密不应该暴露在客户端的网络应用中。您考虑过使用隐式流而不是密码流吗?前者不需要客户端的秘密来让客户知道。
另外,这里可能根本不需要OAuth 2.0流。一种选择是简单地将用户名/密码发送到服务器,并获得一个令牌,而根本不用担心客户机ID/机密。这将取决于您是否计划向其他应用程序公开您的服务器。如果只是这个应用程序,我看不出实现OAuth 2.0流有什么特别的优势。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/53018381
复制相关文章
相似问题
腾讯云开发者
