使用OAUTH访问受保护的RESTAPI
我有一组由OAuth2保护的RESTAPI。我需要从Android应用程序和网络应用程序访问它们 从android应用程序访问API对我来说实现起来非常简单。这里我无法理解的是——从webapp访问相同API的正确和安全的方法是什么 我在想,我不应该使用一些JS库从浏览器直接调用API,因为在我看来这是非常不安全的。相反,我应该保持传统,通过向web服务器提交请求,然后让它进行RESTAPI调用。这类似于从Android进行REST调用的方法使用OAUTH访问受保护的RESTAPI,rest,security,oauth,oauth-2.0,Rest,Security,Oauth,Oauth 2.0,我有一组由OAuth2保护的RESTAPI。我需要从Android应用程序和网络应用程序访问它们 从android应用程序访问API对我来说实现起来非常简单。这里我无法理解的是——从webapp访问相同API的正确和安全的方法是什么 我在想,我不应该使用一些JS库从浏览器直接调用API,因为在我看来这是非常不安全的。相反,我应该保持传统,通过向web服务器提交请求,然后让它进行RESTAPI调用。这类似于从Android进行REST调用的方法 我的想法/方法正确吗 无论请求来自何处,访问API都
我的想法/方法正确吗 无论请求来自何处,访问API都应该是相同的。您只需将授权标头与承载方案一起使用,并将JWT令牌粘贴在其中 但是,正如我在中所解释的,获取JWT令牌的方式是不同的。这完全取决于您对客户端应用程序的信任程度 如果您的客户机是从服务器端查询API的web应用程序,则可以使用并获取API的访问和刷新令牌 如果希望从JavaScript应用程序访问API,则无法隐藏应用程序密钥或刷新令牌,因此应使用 如果您知道如何在Android客户端上安全地存储机密,您可以使用
代码授权授权无疑是最安全的,因为与在您的计算机上运行的应用程序相比,破坏服务器应用程序要困难得多。感谢您的回复!另外,在我将此标记为我的问题的答案之前,我会花几天时间寻找任何其他答案。别担心,如果我能以任何方式澄清答案,请告诉我。