OAuth2 - как авторизоваться без секрета клиента?
Я хочу создать интерфейсное приложение. Приложение должно подключиться к Strava API. В документация по аутентификации говорится, что для получения access_token требуется секрет клиента. Я не хочу хранить секрет клиента в своем коде JavaScript.
Я нашел Сообщение блога, где они объясняют способ, при котором вам не нужно передавать секрет клиента, но он не работает, я получаю ошибку авторизации.
Можно ли получить access_token без секрета клиента? Если нет, то какое решение лучше?
![Безумие обратных вызовов в javascript [JS]](https://i.imgur.com/WsjO6zJb.png)
Ответы 1
Вы ищете неявный поток грантов (двухсторонний) - https://tools.ietf.org/html/rfc6749#section-1.3.2
Strava, похоже, реализует только поток предоставления кода авторизации (трехсторонний), который более безопасен и заставляет вас иметь сервер, который хранит секрет для завершения рукопожатия - https://tools.ietf.org/html/rfc6749#section-4.1
Не используйте неявное предоставление. tools.ietf.org/html/… и medium.com/oauth-2/…
«что безопаснее» не обязательно. Если я реализую поток предоставления кода авторизации в моем локальном программном обеспечении, мне придется сохранить client_secret в коде, который может быть декомпилирован и, следовательно, уязвим.
Спасибо! Вы знаете какой-нибудь сервер, на котором я могу хранить секрет клиента? Я не хочу за это платить, и я ищу самое простое решение, потому что хочу сосредоточиться на интерфейсной части приложения.