我正在尝试在我的应用程序中实现Okta。我在网上看到的所有教程(甚至在文档中)都有前端配置。示例配置如下:
const oktaConfig = {
issuer: process.env.NEXT_PUBLIC_OKTA_ISSUER,
clientId: process.env.NEXT_PUBLIC_OKTA_CLIENT_ID,
redirectUri: 'http://localhost:3000/login',
responseMode: 'query',
response_type: 'code',
tokenManager: {
storage: 'sessionStorage',
},
};用户可以在浏览器中查看此页面。我想知道这是否存在安全问题?这是我登录用户的方式(我们不使用okta的登录页面):
const oktaClient = new OktaAuth(oktaConfig);
const oktaData = await oktaClient.signInWithCredentials({ username, password });如果这些issuerId和cliendId被暴露是不好的,或者这是正常的,你有什么想法吗?
1条答案
按热度按时间6tqwzwtp1#
发行者和客户端ID是公共信息。我喜欢把客户端ID想象成汽车牌照。它只是一个标识符,不包含任何私人信息。客户端机密是您唯一需要担心的事情。它们永远不应该出现在任何前端代码中。