我正在开发一个VueJS SPA,该SPA需要通过传递凭据(由第三方提供(与第三方Web API交互,并从Web API获取令牌。我将使用令牌进一步请求第三方API。将凭据放在VueJS应用程序中的.env文件中并传递给Web API以获取令牌并用于进一步调用,这是一种好的做法吗?或者我们是否需要一个代理中间件来获取身份验证令牌,在那里我们可以安全地将凭据传递给第三方API?
使用代理(即使是非常初级的(是一种很好的做法,也是比制作";普通的";对第三方端点的HTTP调用,因为它隐藏了调用的机密。
然而,考虑到问题仍然可能存在(即使是微不足道的(,因为恶意人员可以直接使用代理进行任意调用,而不是窃取端点的凭据。
为了解决这个问题,最好在代理中添加一个身份验证层
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium