OAuth 2.0 с AJAX - безопаснее поделиться только моим собственным токеном или клиентом и секретом

Question

Я использую API Foursquare и, поскольку мой код работает на стороне клиента с JavaScript, в настоящее время я показываю свои клиентские и секретные ключи всему миру. Я видел некоторые другие потоки об использовании прокси-сервера для обработки запросов, которые немного замедлили бы все и заняли бы немного времени для настройки. Я сделаю это, если это абсолютно необходимо, но чем я на самом деле рискую, обнародовав свои ключи? Пользователям никогда не будет предложено авторизовать веб-приложение, так что это не значит, что их учетные записи находятся в опасности ...? Заранее спасибо!

Answer 1

Предоставление ваших токенов oauth делает вас ответственным за все, что кто-то делает с этими учетными данными. В зависимости от сервиса, это может означать, например, что если кто-то использует ваш ключ и секрет, чтобы сделать что-то, нарушающее условия использования foursquare, ваш ключ и, возможно, учетная запись разработчика могут быть закрыты.

Answer 2

Отображение клиента и секретного ключа для мира означает, что весь мир узнает об идентификаторе и пароле пользователя вашего Банка.Так что, как только эта информация будет с кем-то, скажите мне (я не буду использовать :)), так что я нахожусь в полном положении дайвера, чтобы делать все, что мне нравится делать от имени вас.

в основном эти 2 вещи работают намеханизм рукопожатия, который сообщает поставщику услуг, что вы тот человек, который зарегистрировался с ними и теперь хочет с ним взаимодействовать.

Раскрытие этого означает разоблачение себя. Этот выбор остается за вами:)