#web-applications #oauth-2.0 #single-page-application #auth0 #google-authentication
#веб-приложения #oauth-2.0 #одностраничное приложение #auth0 #google-аутентификация
Вопрос:
Я пытаюсь использовать Auth0 для одностраничного веб-приложения, согласно документу, мы должны хранить домен и client_id в файле auth_config.json с файлами JS. В документе упоминается, что client_id является общедоступным, поэтому безопасно использовать его с веб-файлами. Что можно сделать, чтобы защитить client_id и по-прежнему использовать его в одностраничном веб-приложении. В принципе, я не хочу, чтобы к client_id кто-либо получал доступ, просматривая страницу пользовательского интерфейса, а затем злоупотребляя ею.
Ответ №1:
Идентификатор клиента не является секретным и общедоступен в URL-адресе, когда пользователи нажимают для входа с использованием Auth0. Поэтому, даже если вы попытаетесь скрыть его в своем коде, оно все равно будет открыто при входе пользователей с Auth0.
Существует секретный ключ клиента, который всегда должен быть скрыт, но идентификатор клиента этого не делает