我正在爲我的API實現服務器端OAuth。 我見過here,Google允許完整的JavaScript編寫應用程序使用其API。OAuth完全Javascript訪問,安全問題?
在這種情況下,由於我們處於「查看源」環境,因此我們沒有使用客戶端密鑰,因此我們無法確定應用程序標識。
例如: 如果我看到一個完整的JavaScript的谷歌應用程序,我只需要查看源代碼,獲取客戶端密鑰,並在我自己的網站上放置一個編輯版本的代碼。 如果用戶已經接受了第一個網站上的應用程序,我將能夠使用他的數據(因爲應用程序被接受,接受部分對用戶來說是完全不可見的)。
即使用戶必須重新接受該應用,如果他接受該應用,我也將擁有第一個應用身份的訪問權限。
我對這種方法感到有些害怕,我很驚訝Google不會在文檔中或授權階段暴露不同的風險。 我必須錯過一些東西......你能幫我嗎?
我不太清楚,如果我讓我理解,但如果您有任何問題,請詢問。
(對不起,我的英語)