Javascript 什么确保单页webapp（SPA）中的访问凭据安全？脚本_Javascript_Https_Oauth 2.0_Amazon Cognito_Openid Connect

Javascript 什么确保单页webapp（SPA）中的访问凭据安全？脚本

javascript https oauth-2.0

Javascript 什么确保单页webapp（SPA）中的访问凭据安全？脚本,javascript,https,oauth-2.0,amazon-cognito,openid-connect,Javascript,Https,Oauth 2.0,Amazon Cognito,Openid Connect,假设一个黑客使用一个网页webapphttps://example.com?secure=maybe已通过身份验证并获得用于访问微服务的令牌黑客设法从应用程序中获取这些凭据。（）黑客创建了另一个在本地主机上运行的应用程序，该应用程序加载获得的凭据。黑客还将localhost指向https://example.com在/etc/hosts中，现在打开地址https://example.com运行黑客web应用程序，而不是真正的应用程序问题: 黑客应用程序现在可以使用令牌访问原始应用程序使用的

假设一个黑客使用一个网页webapp

https://example.com?secure=maybe

已通过身份验证并获得用于访问微服务的令牌

黑客设法从应用程序中获取这些凭据。（）

黑客创建了另一个在本地主机上运行的应用程序，该应用程序加载获得的凭据。黑客还将localhost指向

https://example.com

在

/etc/hosts

中，现在打开地址

https://example.com

运行黑客web应用程序，而不是真正的应用程序

问题: 黑客应用程序现在可以使用令牌访问原始应用程序使用的相同微服务吗

显而易见的答案似乎是否定的，因为

https://example.com

仍然解析为本地主机ip地址，这是浏览器知道的唯一可以与之通话的地址，但只是想通过询问……来确保情况属实。

您可以而且可能应该将授权码授权与SPA应用程序一起使用（因为没有客户机密）.

黑客不能伪造

https://example.com

因为他们没有该域的可信证书，并且

本地主机

意味着SSL不起作用。但是如果黑客有令牌，他们将有访问权，尽管会有TTL，并且在用户重新登录时也可以注销。我想更好的方法是是否有可能重新创建使用令牌的REST请求所发送的浏览器环境/上下文。如果有，为使用OpenID Connect令牌的SPA提供服务的微服务是否真的安全？提供安全性的原因可能是无法查看单个页面应用程序变量的内容例如，假设我们执行“let token=REST.callSecurity（）”…是否有人可以使用浏览器开发工具或其他方式读取令牌？是否有后门允许他们读取令牌的内容？此处询问后续问题：完全有可能存在浏览器被破坏的方式，我们只是还不知道。希望以后总能发现并修补漏洞对于安全性非常重要的应用程序，请考虑MFA或其他级别的电子邮件，如我在原来的问题中所建议的。-我想得越多越好——只需使用OpenID连接来识别用户，然后将任何用户授权绑定到仅是服务器的不同令牌上。侧面可接近。