Security 向用户提供后端可以';看不见
假设浏览器端代码在网站上是可信的:前端是一个静态网站,它是开源的,加载的文件定期进行校验和。它不向服务器发送数据。对于此参数,只需假设加载的文件和脚本没有被资源服务器(服务器A)恶意更改 现在,我是另一个服务器(服务器B),我想给这个网站上的用户一个秘密,例如,OAuth访问令牌或JWT,这样用户就可以从服务器a的网站向服务器B发出请求。我希望资源服务器(服务器A)看不到该秘密 有没有一种方法可以在不向服务器显示的情况下,通过重定向或其他方式将秘密传递给用户Security 向用户提供后端可以';看不见,security,web,redirect,architecture,jwt,Security,Web,Redirect,Architecture,Jwt,假设浏览器端代码在网站上是可信的:前端是一个静态网站,它是开源的,加载的文件定期进行校验和。它不向服务器发送数据。对于此参数,只需假设加载的文件和脚本没有被资源服务器(服务器A)恶意更改 现在,我是另一个服务器(服务器B),我想给这个网站上的用户一个秘密,例如,OAuth访问令牌或JWT,这样用户就可以从服务器a的网站向服务器B发出请求。我希望资源服务器(服务器A)看不到该秘密 有没有一种方法可以在不向服务器显示的情况下,通过重定向或其他方式将秘密传递给用户 我可以设计服务器A和服务器B,唯一的
我可以设计服务器A和服务器B,唯一的安全要求是服务器A不能看到服务器B传递给服务器A网站用户的秘密。也许可以创建浏览器插件来解决此类问题。
OAuth服务器可以将令牌与服务器端的会话id相关联(可能将其保存在db中)。当接收到带有oauth令牌的请求时,服务器将验证会话中是否存在相同的令牌。请参阅OAuth2“隐式流”,其中授权服务器以哈希URL片段的形式直接将访问令牌传递给浏览器。哈希片段永远不会发送到后端服务器。然而,“隐式流”并不像“授权代码”流那样安全。这正是我想要的。非常感谢。