Angular2与Auth0,我需要隐藏我的ClientID和域吗?
发布时间:2020-12-17 17:31:59 所属栏目:安全 来源:网络整理
导读:我一直在使用 Auth0来构建我的站点的前端用户身份验证部分,但我不确定是否应该完全遵循文档. 如果我想构建商业产品,我应该隐藏客户端ID和域吗?这会导致安全漏洞吗? 目前,任何人都可以查看我的Angular2源代码并查看客户端ID和域. 解决方法 客户端标识符和您
|
我一直在使用
Auth0来构建我的站点的前端用户身份验证部分,但我不确定是否应该完全遵循文档.
如果我想构建商业产品,我应该隐藏客户端ID和域吗?这会导致安全漏洞吗? 目前,任何人都可以查看我的Angular2源代码并查看客户端ID和域. 解决方法
客户端标识符和您的域(我假设您指的是与[account] .auth0.com类似的已分配的Auth0域)都被视为不需要保密的信息.
域代表处理身份验证的实体;相当于您应用的accounts.google.com. 客户端标识符在OAuth 2.0规范中定义,该规范明确指出不是机密信息:
在基于浏览器或其他应用程序中,实际代码位于客户端环境中,将信息存储在那里以进行身份??验证是不可避免的.您只需要确保存储的信息可以像您提供的两个示例一样公开. 另一方面,这些类型的应用程序无法安全地使用客户机密码,因为它是由OAuth 2.0定义的,因为正如您所说,任何人都可以通过检查代码来查看它. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |