场景
假设使用单页 Web 应用程序的黑客 https://example.com?secure=maybe 已通过身份验证并获得 OpenID Connect用于访问微服务的 token 。
黑客设法从应用程序中获取这些凭据。 (Follow up question on that here)
黑客创建了另一个在本地主机上运行的应用程序,该应用程序加载所获得的凭据。黑客还将 localhost 指向 /etc/hosts 中的 https://example.com,以便现在打开地址 https://example.com code> 运行黑客 Web 应用程序而不是真正的 Web 应用程序。
问题
黑客应用程序现在可以使用 OpenID Connect token 来访问原始应用程序使用它的相同微服务?
显而易见的答案似乎是否定的,因为 https://example.com 仍然解析为本地主机 IP 地址,这是浏览器知道可以与之通信的唯一地址,但只是想让通过询问来确定情况是这样的...
最佳答案
您可以而且也许应该将授权代码授予与 SPA 应用程序一起使用(因为没有客户端 key )Proof Key for Code Exchange by OAuth Public Clients .
关于javascript - 什么可以保护单页 Web 应用程序 (SPA) 内的访问凭据?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49725020/