長話短說,我剛剛使用 NextJs、NextAuth 和 SWR 構建了一個應用程式,我使用 SWR 呼叫多個 Twitch API,驗證 Twitch API 我使用我的 Twitch 應用程式 Client-Id,以及登錄用戶的持有者令牌取自 NextAuth 的會話物件。
我擔心的是,每當 SWR 執行和 API 函式用資料填充頁面或更新它時,您可以在 chrome 或 firefox 開發工具中捕獲網路呼叫時輕松查看請求標頭
。這主要是關于這是一個生產環境并且它仍然發生,這也違反了 Twitch 開發人員檔案,并且很確定有“警告:將您的令牌視為密碼。例如,永遠不要在任何公共 URL 中使用訪問令牌,永遠不要在任何網頁上顯示令牌,無需單擊即可消除混淆。 ”
有沒有辦法或解決方案來隱藏這些?
現在我的下一個最好的問題是我怎樣才能阻止這種情況發生,他們甚至是一種方法嗎?
uj5u.com熱心網友回復:
沒有必要驚慌。可以在請求的Authorization標頭中包含 Bearer 令牌- 事實上這是發送它們的標準方式。你不能在 Chrome 的開發工具中隱藏它,因為這會破壞它的目的。
您帖子中的建議永遠不要在任何公共 URL 中使用訪問令牌可能意味著永遠不要在 URL 中顯示它們,mywebsite.com/?token=[abcd]因為這樣可以通過瀏覽器歷史記錄訪??問它,或者不要將為一項服務設計的令牌發送到另一項服務的 API .
這與 SWR 無關 - 這是標準的 HTTP 行為。
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/338030.html
標籤:javascript 下一个.js twitch-api 开关
上一篇:打字稿如何實作列舉?
下一篇:有條件的VAE-無法建立模型