clientSecret 暴露 安全问题
HANXU2018 opened this issue · comments
#
awesome-fenix/.vuepress/config.js
Line 48 in 8b4da3c
最近在 尝试 通过vuepress 搭建一个工具的文档系统,
个人认为老师的整个文档工程 都比较 规范,
所以打算借鉴老师的项目作为规范,搭建一套自己的文档系统,
分析老师对于vuepress 的配置,
发现 老师将 clientSecret 暴露在配置文件
很疑惑这样配置 是否存在 安全问题
ClientSecret在OAuth2授权码模式中才有存在的意义。本站中使用的是隐式授权模式。
在文档的“架构安全性-授权”中介绍了这两种模式,并且以本站的gitalk留言板功能为例子(config.js中这个就是给gitalk使用的),解释了为何这种情况只能使用隐式授权、为何隐式授权中ClientSecret不再有保护安全的意义。不妨阅读参考一下。
感谢
我阅读过 架构安全这个章节,由于没有使用经验没有理解,只是泛泛的过了一下文章
还是要多思考,把老师提到的这些理论知识 和实际 使用进行结合理解消化。