我们即将用 javascript (angularjs) 编写客户端 mvc 应用程序。在服务器端,我们运行 node.js 来提供模板等。我是故事的“前端”方面的新人——我是“典型的”java 后端人员——所以提前道歉 ;-)
我想对我们自己的基于 oauth 的内部 rest api 进行身份验证和交谈。我可以让握手工作,基本设置似乎正在工作。
我的问题是:我将所有的 oauth 握手和“包装”代码放在哪里?
到目前为止,我已经找到了这些解决方案:
让我们假设客户端和服务器端都是用 javascript 实现的,“真实服务器”是一个码头,服务于 oauth 保护的其余 api。
客户端 (js) -> 服务器 (node.js) -> 服务器 (jetty+oauth)
- 客户端 -> node.js -> 做所有的 oauth 事情
- 客户端 -> 直接到码头服务器
版本 1. 具有保护 api 和 oauth 处理的所有细节的好处(因此没有人查看 html/js 的源代码可以看到这一点)
版本 2. 具有跳过中间层的优势,但每个人都可以看到 oauth 密钥/秘密....
我希望你明白我的意思。是否有任何指南/教程详细说明“最佳实践”来处理在用户浏览器内运行的客户端 mvc 应用程序所需的安全 api?
任何帮助高度赞赏。
干杯马塞尔