存储API访问令牌服务器端
我在React中构建了一个应用程序,该应用程序使用Dropbox API &将存储在AWS S3 & CloudFront上。该应用使用令牌访问Dropbox文件夹。目前这个令牌是客户端,显然是完全可访问的。存储API访问令牌服务器端
我试过联系到Dropbox,看着cookies &HTML5网络存储,但似乎无法找到一个简单的解释。
在服务器上安全令牌的最简单方法是什么?
在服务器中存储访问令牌的优点和缺点很少。
但是,将其存储在服务器上的最安全方式是通过https链接将其发送到服务器。
将访问令牌存储在服务器中的一个主要缺点是您作为服务的所有者必须负责保护令牌。如果您的服务器受到威胁,黑客可以通过简单访问所有的访问令牌访问所有用户的所有数据。
您可以随时将收件箱访问令牌作为存储变量存储在客户端。每个存储只能由来自同一个域的脚本访问。
〜编辑〜
如果Dropbox的帐户是由网站的所有者所拥有,它应该从最终用户隐藏,您需要从服务器中运行的Dropbox帐户。这个访问微服务的DropBox必须被用作访问文件的代理。
你能否指出我与存储变量相关的一些文档的方向? –
https://developer.mozilla.org/en-US/docs/Web/API/Window/localStorage –
https://www.sitepoint.com/html5-browser-storage-past-present-future/ –
我使用Heroku。管理员设置中有一个页面允许您添加环境变量。您的AWS设置中可能有一个类似的。诸如'clientid'和'tokenid'之类的东西就去那里了。 – Andy
你是谁试图从中获得令牌?这是您的Dropbox帐户或用户的Dropbox帐户吗? – Quentin
@Quentin世界其他地方。我相信访问令牌可以让某人上传到应用程序文件夹以及下载。 –