我是编程/开发/ API的新手,所以如果我错误地使用任何术语,请原谅我。
我正在构建一个简单的Web应用程序(使用JS),可从第三方API中提取数据。第三方API需要访问令牌才能进行所有调用。
有几种获取令牌的方法,但是according to the API documentation(以及我一直在阅读的有关令牌的内容),我应该使用Implicit Grant类型来获取需要用户重新获取令牌的令牌-每小时(或他们下次登录时)进行身份验证。
每当获取访问令牌并将其用于相应地调用API时,我都会将其存储在本地存储中。
从理论上讲,该Web应用程序应该将已验证的用户数据(从API获取)写入页面。令牌的范围严格限于名为 owner_read 的属性。 (请参阅API文档here中具有权限的特定调用。)
我遇到的问题是,我意识到生成的访问令牌可能被恶意使用。范围为 owner_read 的令牌也可用于调用服务器并检索数据库中每个客户的数据。 (请参阅API文档here中的特定调用。)
这很令人担忧-我不希望用户能够获得访问令牌,该访问令牌原本只是显示单个用户的信息(Web应用程序中的人员)并拨打服务器并获得所有用户数据。
我的问题是:由于无法再限制范围了,如何防止令牌在其他调用中使用?