OAuth2 - 如何在没有客户端密钥的情况下进行授权?

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了OAuth2 - 如何在没有客户端密钥的情况下进行授权?相关的知识,希望对你有一定的参考价值。

我想创建一个前端应用程序。该应用应该连接到Strava API。在authentication documentation中,他们说客户端秘密需要获得access_token。我不想将我的客户端密码存储在我的javascript代码中。

我找到了一个blog post,他们解释了一种你不需要传递客户端秘密的方法,但是它不起作用,我得到了授权错误。

是否可以在没有客户端密钥的情况下获取access_token?如果没有,最好的解决方案是什么?

答案

您正在寻找Implicit Grant流量(双腿) - https://tools.ietf.org/html/rfc6749#section-1.3.2

Strava似乎只实施授权代码授权流程(三足)更安全,并迫使您拥有一个保存完成握手的秘密的服务器 - https://tools.ietf.org/html/rfc6749#section-4.1

以上是关于OAuth2 - 如何在没有客户端密钥的情况下进行授权?的主要内容,如果未能解决你的问题,请参考以下文章

OAuth2.0 - 它如何防止客户端冒充?

如何在 PHP 中没有硬编码密钥的情况下进行对称加密

是否可以在没有客户端密码的情况下从 Spring OAuth2 服务器获取 access_token?

如何生成 OAuth 2 客户端 ID 和密钥

如何生成 OAuth 2 客户端 ID 和密钥

AWS EC2如何在没有密钥的情况下连接?