我使用 Auth0 进行登录/注册流程,用户可以更新他的个人资料信息。
为了做到这一点,我使用 URL
token'https://YOUR_DOMAIN/oauth/token'data: {
grant_type: 'client_credentials',
client_id: 'YOUR_CLIENT_ID',
client_secret: 'YOUR_CLIENT_SECRET',
audience: 'https://YOUR_DOMAIN/api/v2/'
}
以纯文本形式在网络请求浏览器中可见。
这是我遵循的程序:https://auth0.com/docs/secure/tokens/access-tokens/get-management-api-access-tokens-for-product
那么可以隐藏包含敏感信息的有效负载数据吗?因为有了这个令牌,如果您知道的话,您就可以操纵用户数据
userID或者有其他方法可以在更新配置文件之前从 auth0 检索令牌?
您应该从后端获取新的访问令牌,然后还从后端更新用户个人资料。
您的
access_tokenrefresh_token如果
access_tokenrefresh_token如果您有兴趣,我还在这里解释了拥有access_token和refresh_token的原因:为什么OAuth v2同时具有访问令牌和刷新令牌?
您应该仅从后端执行 Client_Credentials Flow。那么您也不会有在浏览器网络选项卡中看到凭据的问题。