要在 Angular 应用程序中配置Okta身份验证,需要在文件中添加一个config包含应用程序设置的变量。来源OIDCapp.module.ts
const config = {
issuer: 'https://dev-123456.oktapreview.com/oauth2/default',
redirectUri: 'http://localhost:4200/implicit/callback',
clientId: '{clientId}'
};
哪里{clientId}替换成实际的clientId.
将此应用程序推送到公共存储库意味着该应用程序clientId将公开给所有人查看。我的问题是这是否会形成任何安全风险?
在我的研究中,我发现了一些关于apiKeyFirebase 使用的类似问题:
就 Firebase 而言,共享apiKey. 但我不确定Okta是否clientId使用了类似的原理?
我还研究了 Github 上一些实现 Okta 身份验证的公共存储库。大多数这些存储库似乎都公开了,这clientId让我认为共享clientId. 情况确实如此吗?
将您的客户端 ID 放入 GitHub 存储库时,\xe2\x80\x99 不应该出现任何安全问题。该值类似于汽车上的车牌。它\xe2\x80\x99 只是一个标识符,并且定期在授权请求的 URL 中传递。
\n\n客户端密钥是您不想公开的值。它不应该存储在源代码管理中。我建议存储一个虚拟值并使用环境变量覆盖它。
\n| 归档时间: |
|
| 查看次数: |
1064 次 |
| 最近记录: |