读了几篇文章后我有点困惑,基本上假设你有一个使用 gmail 登录进行身份验证的网络应用程序。将谷歌访问令牌存储在本地存储中并通过标头发送以在后端 API 中进行验证是一种好习惯吗?还是应该使用单独的机制来处理 api 级别的访问?
问问题
705 次
1 回答
2
在前端将令牌保存在哪里并不重要,因为即使在您将在后端交换它们的情况下 - 您也需要将它们与请求一起发送。(放置在前端的所有数据都是不安全的)
因此,每个人都可以在检查器网络选项卡中访问它们。
当问题涉及安全性时,第一条规则:
- 研究通过使用环境变量在后端实现该功能的可能性。
PS:我刚刚打开了使用 Gmail 授权您的应用程序,并且有说:
开始:要开始,请参阅实现服务器端授权。
因此,您需要在后端处理所有授权操作,所有令牌都将得到保护。
于 2018-10-19T06:37:32.547 回答