【发布时间】:2012-04-27 03:23:37
【问题描述】:
对于通过后端 API 为每个数据调用后端的网站
后端首先通过其身份验证处理程序传递一个 accessToken,或者 accesstoken 也可以通过 OAuth 传递
我想知道将 accessToken 存储为简单的 Javascript var 并且只对后端进行 Ajax 调用是否安全,或者是一种不好的做法
谢谢
【问题讨论】:
-
也许这个问题如果说“使用”而不是“存储”会更有意义,因为没有真正的长期或持久存储发生?另外,这类事情没有 OAuth Javascript 库吗?
-
是的,我不太了解 OAuth,但在我的情况下,我最担心的是,如果用户在未正确关闭其服务器会话的情况下断开连接,任何人都可以通过检索 accessToken(浏览器历史记录、网络调试器(firebg,chrome,...)
标签: oauth access-token