기기에서 서버로 OAuth 토큰을 전달하는 중 : 열악한 양식입니까?

Question

여기에 설명 된 것과 반대로하고 싶습니다. Can I use oauth token at client side?

하이퍼 링크에서 Facebook Graph API 조회를 수행하는 서비스를 구축하고 있습니다. 페이스 북 그래프 API는 항상 아무 것도 검색하기 위해 OAuth 토큰을 요구합니다.

클라이언트가 OAuth 토큰을 내 서비스에 전달하게하여 Facebook Graph API를 대신 사용할 수 있습니까? (클라이언트와의 연결은 HTTPS를 통해 이루어집니다.)

Answer 1

Google에서는 권장하지 않지만 혼합 된 접근 방법으로 here을 설명합니다.

은 로그인 당신 사용자가 자바 스크립트 API 클라이언트를 사용하여 클라이언트 측에서 앱에 권한을 부여 하이브리드 서버 측 흐름을 사용해야 Google+에서의 모든 이점을 활용하려면, 당신은 특별한을 보내 서버에 대한 일회용 인증 코드 서버가이 일회용 코드를 교환하여 자체 액세스 및 새로 고침 토큰을 Google에서 서버가 자신의 API 호출을 할 수 있도록 교환합니다. 사용자가 오프라인 일 때 수 있습니다. 이 일회성 코드 플로우는 순수한 서버 측 흐름과 서버에 대한 토큰 액세스를 모두 넘는 두 가지 이상의 보안 이점을 가지고 있습니다.