クライアント側の mvc アプリを javascript (angularjs) でコーディングしようとしています。サーバー側では、テンプレートなどを提供するために node.js を実行しています。私はストーリーの「フロント エンド」側の新参者です。私は「典型的な」Java バックエンドの担当者です。
oauth に基づく独自の内部 REST API に対して認証および対話を行いたいと考えています。ハンドシェイクを機能させることができ、基本的なセットアップは機能しているようです。
私の質問は、すべての oauth ハンドシェイクと「ラッピング」コードをどこに置くのですか?
これまでのところ、これらの解決策を見つけました:
クライアント側とサーバー側の両方が JavaScript で実装され、「実サーバー」が oauth で保護された残りの API を提供する桟橋であると仮定しましょう。
クライアント (js) -> サーバー (node.js) -> サーバー (jetty+oauth)
- client -> node.js -> すべての oauth 処理を行います
- クライアント -> jetty サーバーに直接
バージョン 1. には、API および OAuth 処理のすべての詳細を保護するという利点があります (そのため、html/js のソース コードを見ても誰もこれを見ることができません)。
バージョン 2. には、中間層をスキップできるという利点がありますが、誰もが oauth キー/シークレットを見ることができます ....
あなたが私の言いたいことを理解してくれることを願っています。ユーザーのブラウザー内で実行されているクライアント側の mvc アプリケーションで必要とされるセキュリティで保護された API を処理するための「ベスト プラクティス」を詳述するガイドライン/チュートリアルはありますか?
どんな助けでも大歓迎です。
乾杯マルセル