Javascript应用程序中OAuth 2身份验证的最佳安全实践

我有一个RESTAPI，带有OAuth 2身份验证机制（Symfony 3应用程序上的FOSOAuthServerBundle）

要获取/刷新令牌，URL如下所示：

https://api.example.com/oauth/v2/token?grant_type=[password | refresh_token]&客户端id=[客户端id]&客户端机密=[客户端机密]&用户名=[用户名]&密码=[密码]

这在服务器到服务器的调用上非常有效，但不能应用于Javascript应用程序

---

如何从前端应用程序实现API Oauth 2身份验证？（服务器上不存在JWT）。

在您描述的上下文中，最好的选择（如果无法更改api）是创建精简代理以向令牌添加另一层保护

考虑到您可能是一名javascript开发人员，您可以轻松地使用AWSAPIGateway+Lambda创建它，而无需服务器

每当有人在单个页面中实现OAuth时，服务器就会死机 网络应用。停止种族灭绝！使用服务器端代理！现在行动

-亚历克斯·比尔比（@alexbilbie）（）