2

私は、さまざまな企業が自社の Web サイトでホストするためのウィジェットを提供するマーケティング サービスを構築しています。これらのウィジェットは、javascript を使用してブラウザーから直接サーバー内の残りの API と通信して、情報を取得および投稿する必要があります。エンド ユーザーは、アクセスするデータの種類に応じて、承認が必要な場合と不要な場合があります。Facebook、Twitter などの一般的なソーシャル ネットワークを使用してエンド ユーザーを認証する必要があります。実際には、サーバー側の API は次の 2 つのことを確認する必要があります。ユーザー。

ここで使用する必要がある認証の種類がわかりません。私は、oauth(1.0, 2.0) を使用できないと思います。これは、コンシューマ キーとシークレットが必要であり、JavaScript に安全に保存できないためです。使用できる変更された oauth フローはありますか? 誰かがすでにこの問題を解決していますか。誰かがサーバー側にスプリングベースのソリューションを持っていると望ましいでしょう。

4

1 に答える 1

1

電話がそれぞれの会社の Web サイトから発信されていることを確認できません。呼び出しは、サイトではなく、エンド ユーザーのブラウザーから行われます。

また、ブラウザからサイトを直接呼び出すことはできません (ウィジェットとサーバーが同じドメインにないため、少なくとも を使用しないXMLHTTPRequestでください。JSONP を使用することでこれを回避できます。

ここの仕様で説明されているように、OAuth2 と Implicit Grant フローを使用できます: https://datatracker.ietf.org/doc/html/draft-ietf-oauth-v2-31#section-4.2

于 2012-12-09T07:14:20.693 に答える