В настоящее время я собираюсь выяснить, как правильно использовать провайдера OAuth 2.0 строго из клиентского javascript, и у вас есть опасения по поводу разоблачения client_secret
приложения. Это, по сути, «пароль» клиента OAuth.Как hello.js избегает хранения client_secret?
Как hello.js избегать client_secret
все вместе?
Эти провайдеры полагаются на реферер и домен приложения для проверки (идентификации) клиентских запросов?
вам просто нужно использовать ваш client_id, а не секрет. провайдеры _may_ проверяют реферер, но это не нужно, потому что они должны перенаправляться на страницу на сайте, которым вы управляете в любом случае. эта целевая страница получает информацию от третьей стороны, используя location.hash, которая не переходит через http. если информация целевой страницы соответствует ожидаемому клиенту, запрос считается авторизированным. – dandavis