0

我在 Mule 中使用了一些使用 OAuth 并使用 authorizre 消息处理器授权连接器的云连接器。使用服务提供商登录后,我可以使用 OauthAccessTokenId 获取访问令牌以供将来调用。

我正在通过 Javascript 与之交互。我有一个登录按钮,可以在 Mule 中运行授权流程。然后我有一个单独的流程来调用 api 方法。但是如何将 oauthaccesstokenid 传递回身份验证流程中的 Javascript 应用程序,以便将其传递回 Mule 以调用 API?

在授权处理器之后,我正在执行 302 重定向回我的 javascript 应用程序并将 oauthaccesstokenid 存储在 cookie 中。这是最好的方法吗?对安全性也有任何想法吗?

4

1 回答 1

0

注意:假设您正在谈论 OAuth2。

您所描述的是OAuth2 隐式授权很有用的典型场景:使用这种授权类型,访问令牌通过请求片段提供给 Web 浏览器(因此它托管的 JavaScript 代码)。

不过,我不确定 Cloud Connectors 是否支持本机。如果没有,去吃饼干也行。

就安全性而言,与在片段中传递令牌相反,我可以看到的唯一问题是 cookie 将保留在客户端上。这表示这些令牌通常是短暂的(值得检查您收到的令牌的 TTL 是多少),因此攻击面不会很宽。

于 2013-02-15T19:40:04.187 回答