如何解决哪个应用程序需要客户端密钥、Web、SPA、API如 dotnet core web api?
This article 解释了如何注册 Web 应用程序。目前尚不清楚是否通过 Web,它包括 SPA(Angular 和 React)和 API(类似于 Dotnet 核心 Web API)。即使这个 sample application on 也不包含秘密。
我的理解是秘密就像应用程序的密码。但是,哪种类型的应用程序需要它,服务器端 Web 应用程序(ASP.NET MVC、ASP.NET WEB API)、像 Angular 这样的 SPA?
感谢您的帮助
解决方法
永远不要在 SPA 中隐藏秘密。 任何查看该应用程序的人都可以看到它。 这同样适用于任何其他“公共客户端应用程序”,即在用户设备上运行的应用程序。
后端服务器应用程序在需要向身份提供者进行身份验证时需要机密或证书。 因此,如果后端应用需要获取访问令牌,则需要一个秘密。
例如,ASP.NET Web API 可能不需要机密。 如果它不调用任何下游 API,它只需要验证传入的令牌,它可以在没有秘密的情况下完成。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。