JavascriptアプリケーションでのOAuth 2認証のベストプラクティス

Question

私はOAuth 2認証メカニズム（Symfony 3アプリケーションではFOSOAuthServerBundle）を持つREST APIを持っています。

取得/トークンを更新するには、URLは次のようになります。https://api.example.com/oauth/v2/token?grant_type=[password|refresh_token]&client_id=[client_id]&client_secret=[client_secret]&username=[username]&password=[password]

これは、サーバー間の呼び出しで素晴らしい作品が、JavaScriptのアプリに適用することはできません。

フロントアプリケーションからAPI Oauth 2認証を実装するにはどうすればよいですか？ （JWTはサーバー上に存在しません）。

Answer 1

あなたが説明した文脈で、最良の選択肢（apiを変更できない場合）は、シンプロキシを作成して、トークンに別の保護層を追加することです。

あなたはおそらくJavaScriptの開発者であるため、AWS API Gateway + Lambdaを使用して、サーバーを必要とせずに簡単に作成できます。

誰かがOAuthを1ページに実装するたびにサーバーが停止するのは、 web-appです。大虐殺をやめる！サーバー側のプロキシを使用してください！思い立ったが吉日！

- アレックスBilbie（@alexbilbie）（https://github.com/alexbilbie/alexbilbie.github.com/blob/master/_posts/2014-11-11-oauth-and-javascript.md）