0

単一ページのアプリ (私の場合、Node.js + Express + oauth2orize で静的からフェッチされた AngularJS) で、私のクライアントが実際に...私のクライアントであることを保証するものは何ですか? (私は暗黙の許可について言及しています)

悪意のあるクライアントがユーザーのサインインを許可し、クライアント ID を使用してトークンを要求する可能性があるという点で、何か不足していますか? 送信前にクライアントに署名する方法はありますか? 私が見逃した仕様のように?

私のサービスは完全な OAuth2 プロバイダーですが、ユーザーが情報を作成および編集できるように、ダッシュボードのようなものに暗黙的な許可を介して単一ページのアプリを提供したいと考えています。しかし、それが私のクライアントであり、彼らが私から得たものであることを確認したいだけです.

これを保証する仕様または方法を知っている場合は、それらのドキュメントを参照してください。私の推測では、クライアントが要求されるたびに(初期または更新)一意の証明書を生成し、ログイン時にセッションに送り返すことです。

4

1 に答える 1

0

クライアントがクライアント フローを使用している場合は、いいえ。できることは、コードとクライアント ID を難読化することだけです。本当に心配なら、おそらくサーバーフローを使用してください。したがって、クライアントはサーバーにトークンを要求し、サーバーは適切と思われる予防策を講じることができます。Same Origin Policy は、クライアント コードがサイトからのものであるという保護を提供します。

于 2013-09-03T09:36:20.590 に答える