1

我在一个网站上工作,但我不确定是否了解有关身份验证的内容。

我有一个带有外部 API 的网站,我的网站可以向我的 API 询问信息以检索用户、文章等数据。

此外,用户可以在我的网站上创建帐户并要求 API 访问(当然对他的个人资料有一些限制)。所以我的想法是在用户帐户中提供一个密钥/令牌,以允许它从 API 发送/检索他的数据。(例如,Bugsnag、Google 分析等服务……)

  • 这是“O-Auth 2”的工作吗?我的网站就像一个带有密钥的客户,允许他检索更多数据(基本上是更好的范围)
  • 如果用户使用他的 API 令牌添加 Javascript 脚本,那么是什么保护用户使其密钥/令牌被其他用户从 DOM 窃取?

谢谢!

4

1 回答 1

0

OAuth 2.0 不适用于 Authentication

OpenID Connect建立在 OAuth 2.0 之上,并使用JSON Web 令牌,可以签名 ( JWS ) 和加密 ( JWE )

于 2016-05-11T13:17:33.653 回答