Я следовал инструкциям auth0 response для одностраничных приложений. но я не могу понять, как защитить учетные данные ключа auth0 API. В учебном пособии вы создаете компонент Auth0Provider, которому переданы ключи домена, клиента и аудитории Auth0.
<Auth0Provider
domain={process.env.domain}
client_id={process.env.clientid}
redirect_uri={window.location.origin}
audience={process.env.audience}
onRedirectCallback={onRedirectCallback}>
<App />
</Auth0Provider>
Теперь этот компонент живет на стороне клиента, а когда вы связываете код приложения, process.env переменные преобразуются в реальные значения, и ничто не мешает пользователю увидеть эти данные, если он просто проверяет код приложения.
Что мне не хватает ?. Я знаю, что вы не должны хранить конфиденциальную информацию в коде клиента, но (поправьте меня, если я ошибаюсь), документация auth0 не предлагает другой альтернативы.
Сервер должен отвечать за обработку эти учетные данные и выполнение запросов от имени компонента Auth0Provider, поэтому в идеале, если компонент Auth0Provider может выполнить ajax запрос к серверу, который решит проблему.