0

在使用 PKCE for Angular 应用程序实现 Auth 代码流时,我们是否需要安全地存储客户端 IDIssuer?如果是这样,怎么办?因为如果我将它存储为环境变量并动态生成 environment.ts 文件(包含客户端 idissuer),这些值仍然可以在浏览器中访问,因为可以在浏览器中访问 prod build 中的环境文件。

暴露客户 ID 和发行人是否存在安全威胁?

4

1 回答 1

0

根据规范本身:https://datatracker.ietf.org/doc/html/rfc6749#section-2.2客户端 ID 在设计上不是秘密,因此无需保护它。

于 2021-06-12T23:35:48.400 回答