Как хранить app_secret API с oauth в web клиенте (javascript)?

Question

[vermus]

Предположим, есть у меня некий сервис с REST API и OAuth-сервер. Я хочу чтобы это api использовалось в javascript клиенте(ах) на моем же домене. То есть я хочу написать один API с oauth авторизацией и использовать для любого клиента (в том числе и веб).

Какие практики есть в этом случае? Как хранить app_secret (даже не хранить, хранить можно в принципе и на стороне сервера - как закрыть от чужих глаз?)?
Или для веб-клиентов не используют oauth?

Answer 1

[Роман]

Здравствуйте, vermus. Нашли ли решение данного вопроса?

Comments

[vermus]

да, нашел. для веба (или других приложений, в которых нельзя безопасно хранить app_secret) используют Implicit Flow , хорошая статья www.bubblecode.net/en/2013/03/10/understanding-oau... , ну и для примера на русском тут тоже примерно описано https://vk.com/dev/authentication

[Роман]

vermus: "Resource Server: Acme company exposing its API at api.acme.com" – то, что нужно. Прекрасный материал, спасибо!

Answer 2

[vermus]

Ну хоть пару ссылок подкиньте - куда копать? Я пока вижу сервисы которые работают отдельно. То есть отдельно api , отдельно web приложение (со своими POST и GET запросами). Так делают, когда нужно создать API для существующего сайта. Если делать с нуля, это нарушает принцип DRY.