我有一个带有公共 API 的网站:
mysite.com api.mysite.com(受 OAuth2.0 保护)
我的网站将允许其他网站所有者在他们的页面上放置 iframe 小部件,类似于 Facebook 朋友小部件。当消费者登录到小部件时,我需要它与我的公共 API 进行通信。我目前有一个 3-legged auth 设置:
- 使用 clientId 请求代码
- 使用clientId、clientSecret和code请求accessToken
- 像这样进行 API 调用:
https://api.mysite.com/me?access_token=12345
我的 API 是无状态的(没有会话),并且依赖于访问令牌来验证每个请求。如何设置我的 javascript 小部件以与我的 OAuth2 API 通信?我的第一个想法是将访问令牌存储在 cookie 中,但我知道这不安全。