从客户端到 OAuth2 再到服务器到客户端的安全流程

【问题标题】:Secure flow from Client to OAuth2 to Server to Client again从客户端到 OAuth2 再到服务器到客户端的安全流程
【发布时间】:2021-04-14 20:29:44
【问题描述】:

我不确定这是否特定于 discord OAuth2 流程,但我会提到我目前正在尝试获取用户的 discord id 以供以后使用。

我目前的流程如下:

  • 用户点击客户端上的按钮,重定向到不和谐的身份验证链接
  • Discord 向 Firebase 函数发送代码回调
  • Firebase 从身份验证服务器发送令牌+刷新
  • Firebase 存储用户 ID 等(此处不确定)
  • Firebase 将确认发送回客户端

我需要调用此函数的人的 UID,以便将数据存储到 firestore 上的正确文档中。我原本打算考虑使用:

  • 用户点击客户端上的按钮,重定向到不和谐的身份验证链接
  • Discord 向客户端发送代码回调
  • 客户端将代码发送到 Firestore 函数
  • Firebase 从身份验证服务器发送令牌+刷新
  • Firebase 存储用户 ID
  • Firebase 将确认发送回客户端

但我担心这里提到的不安全感:https://discordjs.guide/oauth2/#oauth2-flow

【问题讨论】:

    标签: firebase oauth-2.0


    【解决方案1】:

    我最终决定客户端(或任何人)是否有权访问代码回调并不重要,因为无论如何我都在使用它来获取实际的令牌+刷新。无论如何,如果没有 app_id 和 app_secret,代码将毫无用处。

    【讨论】:

      猜你喜欢
      • 2020-11-16
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2011-08-07
      • 2017-12-17
      • 1970-01-01
      • 2011-02-16
      • 2016-03-19
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode