目前,我们正在寻求为我的API开发oauth身份验证。 所以基本上我们的UI将在reactjs中显示使用nodejs API的TV Grid计划在后端将返回JSON。我们将通过ajax处理UI更改。
在ajax或页面加载时,我们将调用API来显示电视网格。
因此我们希望使用oauth保护API。 可以说我已通过APP ID&客户端密钥并收到带有回调URL和所有内容的“auth_token”(如fb,google有) 将存储在localstorage或cookies上。 如果攻击者可以访问该令牌,他可以调用API获取数据访问权限。 如何避免数据被盗? 我在oauth中缺少什么?请告诉我。