Я хочу использовать что-то вроде OAuth Implicit Grant, чтобы дать клиенту токен доступа, чтобы можно было выполнять работу на клиенте, а не на сервере, что экономит мои затраты.
Я не хочуиспользовать неявное точно.Вместо этого я хочу использовать Разрешение Авторизации.Мой сервер будет первым, кто получит токен доступа, поэтому браузер не будет сохранять токен в истории или журналах.Сервер отправит токен клиенту через веб-сокет.Теперь клиент будет иметь токен во время выполнения JavaScript.
Мне интересно, можно ли кому-нибудь украсть токен.Клиент находится на доверенном веб-сайте, однако мне интересно, может ли что-то вроде расширения Chrome проверять время выполнения javasceipt и видеть значение токена доступа.
Мне также интересно, есть ли другие способы получить доступтокен из клиентской среды выполнения Javascript.