那些遇到过的问题

如何在Javascript中实现安全的OAuth2消费?

Dav*_*ers 45 javascript api consumer oauth-2.0 angularjs

我正在使用OAuth2.0在PHP中设计API.我的最终目标是在javascript(使用AngularJS)中构建一个直接访问此API的前端应用程序.我知道传统上没有办法在javascript中保护交易,因此直接访问API是不可行的.前端需要与服务器代码进行通信,而服务器代码又直接与API通信.但是,在研究OAuth2时,看起来用户代理流程似乎是为了帮助解决这种情况.

我需要帮助的是在javascript中实现OAuth2用户代理流程(特别是AngularJS,如果可能的话,因为我正在使用我的前端).我无法找到任何这样做的示例或教程.我真的不知道从哪里开始,不想阅读整个OAuth2规范,至少没有看到我将要做的事情的例子.因此,非常感谢任何示例,教程,链接等.

Jan*_*ger 50

隐格兰特流(你指的是作为一个用户代理流量)正好是要走的路:

隐式授权是为使用脚本语言(如JavaScript)在浏览器中实现的客户端优化的简化授权代码流.

要了解这一流程,Google提供的客户端应用程序文档是一个非常好的起点.请注意,他们建议您采取额外的令牌验证步骤,以避免混淆的代理问题.

以下是使用Soundcloud API和jQuery的流程的简短示例实现,取自以下答案:

<script type="text/javascript" charset="utf-8">
  $(function () {
    var extractToken = function(hash) {
      var match = hash.match(/access_token=([\w-]+)/);
      return !!match && match[1];
    };

    var CLIENT_ID = YOUR_CLIENT_ID;
    var AUTHORIZATION_ENDPOINT = "https://soundcloud.com/connect";
    var RESOURCE_ENDPOINT = "https://api.soundcloud.com/me";

    var token = extractToken(document.location.hash);
    if (token) {
      $('div.authenticated').show();

      $('span.token').text(token);

      $.ajax({
          url: RESOURCE_ENDPOINT
        , beforeSend: function (xhr) {
            xhr.setRequestHeader('Authorization', "OAuth " + token);
            xhr.setRequestHeader('Accept',        "application/json");
          }
        , success: function (response) {
            var container = $('span.user');
            if (response) {
              container.text(response.username);
            } else {
              container.text("An error occurred.");
            }
          }
      });
    } else {
      $('div.authenticate').show();

      var authUrl = AUTHORIZATION_ENDPOINT + 
        "?response_type=token" +
        "&client_id="    + clientId +
        "&redirect_uri=" + window.location;

      $("a.connect").attr("href", authUrl);
    }
  });
</script>
<style>
  .hidden {
    display: none;
  }
</style>

<div class="authenticate hidden">
  <a class="connect" href="">Connect</a>
</div>

<div class="authenticated hidden">
  <p>
    You are using token
    <span class="token">[no token]</span>.
  </p>

  <p>
    Your SoundCloud username is
    <span class="user">[no username]</span>.
  </p>
</div>
Run Code Online (Sandbox Code Playgroud)

要使用AngularJS 发送XMLHttpRequests(ajax()函数在jQuery中执行的操作),请参阅他们的$http服务文档.

如果要保留状态,则在将用户发送到授权端点时,请检查state参数.

  • 要使此功能与最新的SoundCloud api一起使用,请将regexp更改为`/ access_token =([\ w-] +)/`。他们的令牌现在包含破折号。 (2认同)
  • @Ben嗯,你冒着一些恶意客户端使用你的客户端凭证欺骗用户的风险.如果重要,取决于您的用例.您可以在[OAuth 2威胁模型文档](https://tools.ietf.org/html/rfc6819#section-4.1.1)中找到一些其他注意事项. (2认同)
  • 不应该是`xhr.setRequestHeader('Authorization', "Bearer " + token)`吗? (2认同)

归档时间:

查看次数:

36882 次

最近记录:

12 年,7 月 前
相关归档
HTTP Content-Type标头和JSON 129
在AngularJS完成呈现HTML之后运行jQuery代码 68
敲除数据绑定动态生成的元素 46
难以调试错误 - 第2列的令牌'{'无效密钥 35
当ng-pattern为$ invalid时,Angular.js - ng-change不会触发 33
在Angular中加载页面后滚动到锚点 19
如何使用Typescript 1.5和AngularJS 1.4实现模块? 14
Shadow DOM中的Angular 1.x ngAnimate不会注册动画时间或添加进入/离开类 14
如何在html元素属性中使用Angular 2外推? 7
使用OAuth发送电子邮件 5
难疑归档
使用"let"和"var"在JavaScript中声明变量有什么区别? 4199
使用CSS更改HTML5输入的占位符颜色 3876
在一行中捕获多个异常(块除外) 2521
为什么我不应该在PHP中使用mysql_*函数? 2432
运算符重载的基本规则和习惯用法是什么? 2074
原子和非原子属性之间有什么区别? 1828
如何在Bash中将变量设置为命令的输出? 1513
如何在Python中追加文件? 1446
类型检查:typeof,GetType还是? 1435
如何在Linux shell脚本中提示是/否/取消输入? 1352