在单页应用程序中(在我的情况下,AngularJS 从 node.js + express + oauth2orize 的静态中获取)什么可以保证我的客户实际上是……我的客户?(我指的是隐式赠款)
我是否遗漏了某些恶意客户端可以简单地允许用户登录,然后使用我的客户端 ID 请求令牌的东西?有没有办法在发送之前签署我的客户?就像我错过的规格一样?
这个想法是我的服务是一个完整的 OAuth2 提供程序,但我想通过隐式授权来提供一个单页应用程序,例如仪表板,供用户创建和编辑信息。但我只是想确定这是我的客户,他们从我这里得到的那个。
如果您知道确保这一点的规格或方法,我想看看那些文档。我现在的猜测是每次请求客户端(初始或刷新)时生成一个唯一证书,并在登录时将其发送回会话。