我想使用 OAuth 隐式授予之类的东西来为客户端提供访问 token ,以便可以在客户端而不是服务器上完成工作,从而节省我的成本。
我不想完全使用隐式。相反,我想使用授权授予。我的服务器将首先获取访问 token ,因此浏览器不会将 token 存储在历史记录或日志中。服务器将通过 Web 套接字将 token 发送给客户端。客户端现在将在其 JavaScript 运行时中拥有该 token 。
我想知道是否有人有可能窃取 token 。客户端位于受信任的网站上,但是,我想知道 Chrome 扩展之类的东西是否可以检查 javasceipt 运行时并查看访问 token 的值。
我还想知道是否还有其他方法可以从客户端的 JavaScript 运行时获取访问 token 。
最佳答案
是generally not recommended使用隐式流(有些服务器完全禁止此流)。
如果您是building a new SPA ,您应该考虑使用 PKCE 实现基于授权代码的新指南。
关于javascript - 浏览器插件或扩展程序可以查看页面中运行的 JavaScript 变量的值吗,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54361092/