Javascript JS SPA的公共OAuth_Javascript_Oauth_Oauth 2.0_Cross Domain_Single Page Application

Javascript JS SPA的公共OAuth

javascript oauth oauth-2.0

Javascript JS SPA的公共OAuth,javascript,oauth,oauth-2.0,cross-domain,single-page-application,Javascript,Oauth,Oauth 2.0,Cross Domain,Single Page Application,我们有一个JS客户端，它通过CORS直接与API对话。此API受OAuth保护我们需要在用户登录之前与此API对话，这样我们就无法访问资源所有者授予令牌我们可以使用客户端凭据，但随后必须在客户端资产（js）中公开clientId和clientSecret 当您没有用户令牌时，从JavaScript访问OAuth API的最佳实践是什么？听起来您有两种类型的API调用：在登录之前，您可以不使用访问令牌访问公共信息登录后，您必须提供访问令牌才能访问私有数据授权码流（PKCE）是获取令牌

我们有一个JS客户端，它通过CORS直接与API对话。此API受OAuth保护

我们需要在用户登录之前与此API对话，这样我们就无法访问资源所有者授予令牌

我们可以使用客户端凭据，但随后必须在客户端资产（js）中公开clientId和clientSecret

当您没有用户令牌时，从JavaScript访问OAuth API的最佳实践是什么？

听起来您有两种类型的API调用：

在登录之前，您可以不使用访问令牌访问公共信息
登录后，您必须提供访问令牌才能访问私有数据

授权码流（PKCE）是获取令牌的标准方式，如在my中