代码之家  ›  专栏  ›  技术社区  ›  Anonymus_goat

OAuth2-如何在没有客户端机密的情况下进行授权?

oauth-2.0 oauth authentication javascript
  •  0
  • Anonymus_goat  · 技术社区  · 6 年前

    我想创建一个前端应用程序。应用程序应该连接到Strava API。在 authentication documentation 他们说,获取访问令牌需要客户端机密。我不想在我的javascript代码中存储我的客户机秘密。

    我发现了一个 blog post 当他们解释了一种不需要传递客户机秘密但不起作用的方法时,我会得到一个授权错误。

    是否可以在不使用客户端机密的情况下获取访问\令牌?如果不是,最好的解决方案是什么?

    1 回复  |  直到 6 年前
        1
  •  1
  •   Boaz    6 年前

    你在寻找隐含的赠款流(两腿的)—— https://tools.ietf.org/html/rfc6749#section-1.3.2

    Strava似乎只实现授权代码授予流(三条腿),这更安全,并迫使您拥有一个拥有完成握手的秘密的服务器。- https://tools.ietf.org/html/rfc6749#section-4.1

    推荐文章
    megha  ·  Alamofire 4检索器和适配器无法查看更改的accessToken
    6 年前
    kamaci  ·  为Twitter OAuth生成哈希
    6 年前
    Viktor Reinok  ·  JHipster社交登录中的redirect\u url不正确
    7 年前
    Irios  ·  Spring Oauth2:未找到预身份验证的AuthenticationProvider身份验证[已关闭]
    7 年前
    Nipoon Patel  ·  Gmail登录如何工作
    7 年前
    Aaron  ·  IdentityServer4和运行在iOS 9.3.5上的客户端(禁用JavaScript)
    7 年前
    Perumal Ramasamy  ·  如何增加access token+Spring boot+OAuth的到期日?
    7 年前
    Stan  ·  将R Studio连接到精确的在线API
    7 年前
    Lennie  ·  如何为OAuth Facebook登录指定重定向URL
    7 年前
    WelpNathan  ·  Discord OAuth2返回{“error”:“access\u denied”}
    7 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号