1

读了几篇文章后我有点困惑,基本上假设你有一个使用 gmail 登录进行身份验证的网络应用程序。将谷歌访问令牌存储在本地存储中并通过标头发送以在后端 API 中进行验证是一种好习惯吗?还是应该使用单独的机制来处理 api 级别的访问?

4

1 回答 1

2

在前端将令牌保存在哪里并不重要,因为即使在您将在后端交换它们的情况下 - 您也需要将它们与请求一起发送。(放置在前端的所有数据都是不安全的)

因此,每个人都可以在检查器网络选项卡中访问它们。

当问题涉及安全性时,第一条规则:

  • 研究通过使用环境变量在后端实现该功能的可能性。

PS:我刚刚打开了使用 Gmail 授权您的应用程序,并且有说:

开始:要开始,请参阅实现服务器端授权

因此,您需要在后端处理所有授权操作,所有令牌都将得到保护。

于 2018-10-19T06:37:32.547 回答