使用OAUTH访问受保护的RESTAPI

我有一组由OAuth2保护的RESTAPI。我需要从Android应用程序和网络应用程序访问它们

从android应用程序访问API对我来说实现起来非常简单。这里我无法理解的是——从webapp访问相同API的正确和安全的方法是什么

我在想，我不应该使用一些JS库从浏览器直接调用API，因为在我看来这是非常不安全的。相反，我应该保持传统，通过向web服务器提交请求，然后让它进行RESTAPI调用。这类似于从Android进行REST调用的方法

---

我的想法/方法正确吗

无论请求来自何处，访问API都应该是相同的。您只需将授权标头与承载方案一起使用，并将JWT令牌粘贴在其中

但是，正如我在中所解释的，获取JWT令牌的方式是不同的。这完全取决于您对客户端应用程序的信任程度

如果您的客户机是从服务器端查询API的web应用程序，则可以使用并获取API的访问和刷新令牌

如果希望从JavaScript应用程序访问API，则无法隐藏应用程序密钥或刷新令牌，因此应使用

如果您知道如何在Android客户端上安全地存储机密，您可以使用

---

代码授权授权无疑是最安全的，因为与在您的计算机上运行的应用程序相比，破坏服务器应用程序要困难得多。

感谢您的回复！另外，在我将此标记为我的问题的答案之前，我会花几天时间寻找任何其他答案。别担心，如果我能以任何方式澄清答案，请告诉我。