자바 스크립트 애플리케이션에서 OAuth 2 인증을위한 최상의 보안 사례

Question

OAuth 2 인증 메커니즘 (Symfony 3 애플리케이션의 FOSOAuthServerBundle)과 함께 REST API를 사용했습니다.

은/얻을 토큰, 같은 URL 모양 새로 고치려면 : https://api.example.com/oauth/v2/token?grant_type=[password|refresh_token]&client_id=[client_id]&client_secret=[client_secret]&username=[username]&password=[password]

이 서버 간 호출에 잘 작동을하지만, 자바 스크립트 애플리케이션에 적용 할 수 없습니다.

프론트 응용 프로그램에서 API Oauth 2 인증을 구현하는 방법은 무엇입니까? (JWT가 서버에 없습니다).

Answer 1

설명 된 상황에서 최상의 옵션 (API를 변경할 수없는 경우)은 씬 프록시를 만들어 토큰에 다른 보호 계층을 추가하는 것입니다.

아마도 자바 스크립트 개발자이므로 AWS API Gateway + Lambda를 사용하여 서버가 필요없이 쉽게 만들 수 있습니다.

누군가가 한 페이지에서 OAuth를 구현할 때마다 서버가 죽어 web-app입니다. 대량 학살을 멈춰라! 서버 측 프록시를 사용하십시오! 지금 행동하십시오!

- 알렉스 Bilbie (@alexbilbie) (https://github.com/alexbilbie/alexbilbie.github.com/blob/master/_posts/2014-11-11-oauth-and-javascript.md)