我想创建一个前端应用程序。该应用应该连接到Strava API。在authentication documentation中,他们说客户端秘密需要获得access_token。我不想将我的客户端密码存储在我的JavaScript代码中。
我找到了一个blog post,他们解释了一种你不需要传递客户端秘密的方法,但是它不起作用,我得到了授权错误。
是否可以在没有客户端密钥的情况下获取access_token?如果没有,最好的解决方案是什么?
您正在寻找Implicit Grant流量(双腿) - https://tools.ietf.org/html/rfc6749#section-1.3.2
Strava似乎只实施授权代码授权流程(三足)更安全,并迫使您拥有一个保存完成握手的秘密的服务器 - https://tools.ietf.org/html/rfc6749#section-4.1