如何解决Browser端访问OAuth2 API的安全隐患?
- 内容介绍
- 文章标签
- 相关推荐
本文共计585个文字,预计阅读时间需要3分钟。
OAuth2是一种基于HTTP的认证API,通常与基于HTTP的REST风格API(如新浪微博和GitHub)搭配使用。很多人一定想过是否可以直接从浏览器端调用REST API。我最近做了一些这方面的研究。
OAuth2是基于HTTP的认证API,一般与OAuth2搭配的API也是基于HTTP的REST风格API(比如新浪微博和github),很多人一定想过是否可以直接从浏览器端调用REST API。
我最近做了一些这方面的研究,因为OAuth2中有secret key的存在,所以纯粹的客户端是不行的,但是服务端仅仅参与认证过程,由浏览器去调用REST API则是完全可行的。
于是比如你想开发一个github应用,那么服务端只需要一个没有界面的Auth服务就可以了,大部分的工作可以让浏览器端完成,这个架构可以大大减轻服务器的压力,对于不熟悉后端语言的前端工程师来说,是个不错的选择。
本文共计585个文字,预计阅读时间需要3分钟。
OAuth2是一种基于HTTP的认证API,通常与基于HTTP的REST风格API(如新浪微博和GitHub)搭配使用。很多人一定想过是否可以直接从浏览器端调用REST API。我最近做了一些这方面的研究。
OAuth2是基于HTTP的认证API,一般与OAuth2搭配的API也是基于HTTP的REST风格API(比如新浪微博和github),很多人一定想过是否可以直接从浏览器端调用REST API。
我最近做了一些这方面的研究,因为OAuth2中有secret key的存在,所以纯粹的客户端是不行的,但是服务端仅仅参与认证过程,由浏览器去调用REST API则是完全可行的。
于是比如你想开发一个github应用,那么服务端只需要一个没有界面的Auth服务就可以了,大部分的工作可以让浏览器端完成,这个架构可以大大减轻服务器的压力,对于不熟悉后端语言的前端工程师来说,是个不错的选择。