0
在單頁的應用程序(在我的情況AngularJS從靜態獲取在的node.js +快遞+ oauth2orize)什麼向我保證,我的客戶居然是......好我的客戶? (我指的是隱性補助)的OAuth2和單頁應用程序 - 確保客戶端是我
我失去了在的東西惡意用戶可以簡單地允許用戶登錄,然後請求與我的客戶ID令牌?有沒有辦法在發送之前簽署我的客戶?像我錯過了一個規格?
的想法是,我的服務是一個完整的OAuth2出來提供商,但我想通過提供贈款隱含單個頁面應用類似,爲用戶創建和編輯信息信息中心。但我只是想確定它是我的客戶,他們從我那裏得到的。
如果你知道規範或保證本的方法,我想看到這些文檔。我現在的猜測是每次請求客戶端(初始或刷新)時生成一個唯一的證書,並在登錄時將會話發回。