在向 Auth0 发送请求以获取访问令牌时,是否可以使用可见的密钥隐藏有效负载?
While sending request to Auth0 to get access token, is it possible to hide payload with secret keys which are visible?
我正在使用 Auth0 登录 in/sign up flow,用户可以更新他的个人资料信息。
为了做到这一点,我使用 url 'https://YOUR_DOMAIN/oauth/token' 从 auth0 请求 token,在负载中发送此敏感信息
data: {
grant_type: 'client_credentials',
client_id: 'YOUR_CLIENT_ID',
client_secret: 'YOUR_CLIENT_SECRET',
audience: 'https://YOUR_DOMAIN/api/v2/'
}
在网络请求浏览器中以纯文本形式显示。
这是我正在执行的程序:https://auth0.com/docs/secure/tokens/access-tokens/get-management-api-access-tokens-for-production
那么是否可以隐藏包含此敏感信息的负载数据?因为有了这个令牌,如果您知道用户 ID,就可以操纵用户数据。
或者有其他方法可以在更新配置文件之前从 auth0 检索令牌?
谢谢
您应该只从后端执行 Client_Credentials 流程。那么您也不会有凭据在浏览器网络选项卡中可见的问题。
您应该从后端获取新的访问令牌,然后还从后端更新用户配置文件。
您的 access_token 应该被加密并且可以存储在用户浏览器的 cookie 或 JWT 令牌中。这是发送到您的 server/backend 的每个请求,您解密它并提取一些用户信息,包括令牌的到期时间和 refresh_token.
如果 access_token 已过期,您可以使用从后端到授权服务器的 refresh_token 请求一个新的。
如果您有兴趣,我还会在这里解释 access_token 和 refresh_token 的原因:Why Does OAuth v2 Have Both Access and Refresh Tokens?
我正在使用 Auth0 登录 in/sign up flow,用户可以更新他的个人资料信息。
为了做到这一点,我使用 url 'https://YOUR_DOMAIN/oauth/token' 从 auth0 请求 token,在负载中发送此敏感信息
data: {
grant_type: 'client_credentials',
client_id: 'YOUR_CLIENT_ID',
client_secret: 'YOUR_CLIENT_SECRET',
audience: 'https://YOUR_DOMAIN/api/v2/'
}
在网络请求浏览器中以纯文本形式显示。
这是我正在执行的程序:https://auth0.com/docs/secure/tokens/access-tokens/get-management-api-access-tokens-for-production
那么是否可以隐藏包含此敏感信息的负载数据?因为有了这个令牌,如果您知道用户 ID,就可以操纵用户数据。
或者有其他方法可以在更新配置文件之前从 auth0 检索令牌?
谢谢
您应该只从后端执行 Client_Credentials 流程。那么您也不会有凭据在浏览器网络选项卡中可见的问题。
您应该从后端获取新的访问令牌,然后还从后端更新用户配置文件。
您的 access_token 应该被加密并且可以存储在用户浏览器的 cookie 或 JWT 令牌中。这是发送到您的 server/backend 的每个请求,您解密它并提取一些用户信息,包括令牌的到期时间和 refresh_token.
如果 access_token 已过期,您可以使用从后端到授权服务器的 refresh_token 请求一个新的。
如果您有兴趣,我还会在这里解释 access_token 和 refresh_token 的原因:Why Does OAuth v2 Have Both Access and Refresh Tokens?