我正在为我的API实现服务器端OAuth。 我见过here,Google允许完整的JavaScript编写应用程序使用其API。OAuth完全Javascript访问,安全问题?
在这种情况下,由于我们处于“查看源”环境,因此我们没有使用客户端密钥,因此我们无法确定应用程序标识。
例如: 如果我看到一个完整的JavaScript的谷歌应用程序,我只需要查看源代码,获取客户端密钥,并在我自己的网站上放置一个编辑版本的代码。 如果用户已经接受了第一个网站上的应用程序,我将能够使用他的数据(因为应用程序被接受,接受部分对用户来说是完全不可见的)。
即使用户必须重新接受该应用,如果他接受该应用,我也将拥有第一个应用身份的访问权限。
我对这种方法感到有些害怕,我很惊讶Google不会在文档中或授权阶段暴露不同的风险。 我必须错过一些东西......你能帮我吗?
我不太清楚,如果我让我理解,但如果您有任何问题,请询问。
(对不起,我的英语)