【发布时间】:2019-03-24 00:30:14
【问题描述】:
读了几篇文章后我有点困惑,基本上假设您有一个使用 gmail 登录进行身份验证的网络应用程序。将谷歌访问令牌存储在本地存储中并通过标头发送以在后端 API 中进行验证是一种好习惯吗?还是应该使用单独的机制来处理 api 级别的访问?
【问题讨论】:
标签: reactjs api security websecurity
【发布时间】:2019-03-24 00:30:14
【问题描述】:
在前端将令牌保存在哪里并不重要,因为即使在您将在后端交换它们的情况下 - 您也需要将它们与请求一起发送。 (所有放在前端的数据都是不安全的)
所以每个人都可以在检查器网络选项卡中访问它们。
当问题涉及安全时,第一条规则:
- 研究使用环境变量在后端实现该功能的可能性。
P.S:我刚打开Authorizing Your App with Gmail,里面有说:
开始: 要开始使用,请参阅实施服务器端授权。
因此,您需要在后端处理所有授权操作,所有令牌都将得到保护。
【讨论】: