人民!
我正在努力在我的应用程序中构建OAuth2基础设施,并面临着一个问题:在运行时将客户端凭据存储在哪里。对于开发/生产环境,是否有向JS SPA提供客户端凭据的最佳实践?或者硬编码是实现这类事情的唯一方法?
发布于 2020-02-03 18:41:02
这里有best practices for browser based applications。您不能将客户端凭据存储在浏览器中-它们将变为公共凭据。您应该改用Proof Key for Code Exchange (PKCE) -创建一个用作一次性密码的保密值。
https://stackoverflow.com/questions/60036992
复制相似问题