人!
我正在努力在我的应用程序中构建OAuth2基础结构,并遇到一个问题:在运行时将客户端凭据存储在何处。是否有最佳实践,可将开发人员/产品环境的客户信誉传递给JS SPA?还是硬编码是制作这类东西的唯一方法?
有best practices for browser based applications。您无法将客户端凭据存储在浏览器中-它们将变为公开。您应该改用Proof Key for Code Exchange(PKCE)-创建用作一次性密码的秘密值。