所以基本上,我在 html 中使用 Google Button 登录,并且我需要以下代码:
`
data-client_id=TOKEN HERE"
data-callback="processResponse"
data-context="continue-with"
data-ux_mode="popup"
data-auto_select="true">
</div>`
我查遍了互联网,但找不到保护我的 client_id 令牌的好方法。这是一个普遍问题,也适用于我网站的许多其他方面。例如,我的前端 html 发出添加、更改和删除数据库中的条目的请求,但任何人都可以发送这些请求并操作数据库。我如何确保这一点?
我想到了 process.env,但是任何人都可以打开检查元素并输入 console.log(process.env.TOKEN) 来获取它。
我也考虑过向后端服务器请求密钥,但我找不到验证请求的好方法,因为任何人都可以向我的后端发送获取该密钥的请求。我考虑过放置某种验证请求所需的“密码”,但是此密码必须包含在 html 中,使其基本上无用。
OAuth2 流程中的
client_id
并不是秘密。恶意用户仅凭 client_id
无法做任何坏事。