h******b
发帖数: 6055 | 1 公司出个新api, 是oauth 2 authorization code的token验证。 我想搞个前端mvp产
品。卡在http.get的cross domain这一步上。
三哥说他这个api因为安全问题不能打开cross domain,我本来打算用jsonp他说不支持
(我稍微有点怀疑这个,毕竟谷歌到过instagram的oauth+jsonp的例子,但毕竟不是我
专长)。
他建议我用nodejs抓数据然后expose给我的网页。 这样就same domain了。 真的应
该这么做吗还是有更好的方案。 数据敏感,让他在服务器端打开cors不可能了。听上
去好麻烦,自己家服务器的api我还得用node搞个middleware。 |
s*i
发帖数: 5025 | 2 Same here. I did it with a Node API.
[发表自未名空间手机版 - m.mitbbs.com]
【在 h******b 的大作中提到】
: 公司出个新api, 是oauth 2 authorization code的token验证。 我想搞个前端mvp产
: 品。卡在http.get的cross domain这一步上。
: 三哥说他这个api因为安全问题不能打开cross domain,我本来打算用jsonp他说不支持
: (我稍微有点怀疑这个,毕竟谷歌到过instagram的oauth+jsonp的例子,但毕竟不是我
: 专长)。
: 他建议我用nodejs抓数据然后expose给我的网页。 这样就same domain了。 真的应
: 该这么做吗还是有更好的方案。 数据敏感,让他在服务器端打开cors不可能了。听上
: 去好麻烦,自己家服务器的api我还得用node搞个middleware。
|
l**********n
发帖数: 8443 | |
N*****m
发帖数: 42603 | 4 什么后端都行,跟node没啥关系
【在 h******b 的大作中提到】
: 公司出个新api, 是oauth 2 authorization code的token验证。 我想搞个前端mvp产
: 品。卡在http.get的cross domain这一步上。
: 三哥说他这个api因为安全问题不能打开cross domain,我本来打算用jsonp他说不支持
: (我稍微有点怀疑这个,毕竟谷歌到过instagram的oauth+jsonp的例子,但毕竟不是我
: 专长)。
: 他建议我用nodejs抓数据然后expose给我的网页。 这样就same domain了。 真的应
: 该这么做吗还是有更好的方案。 数据敏感,让他在服务器端打开cors不可能了。听上
: 去好麻烦,自己家服务器的api我还得用node搞个middleware。
|
W***o
发帖数: 6519 | 5 我记得angular 可以通过设置$httpProvider 的header 来做cross domain 啊,不过好
久没用过这个了
【在 h******b 的大作中提到】
: 公司出个新api, 是oauth 2 authorization code的token验证。 我想搞个前端mvp产
: 品。卡在http.get的cross domain这一步上。
: 三哥说他这个api因为安全问题不能打开cross domain,我本来打算用jsonp他说不支持
: (我稍微有点怀疑这个,毕竟谷歌到过instagram的oauth+jsonp的例子,但毕竟不是我
: 专长)。
: 他建议我用nodejs抓数据然后expose给我的网页。 这样就same domain了。 真的应
: 该这么做吗还是有更好的方案。 数据敏感,让他在服务器端打开cors不可能了。听上
: 去好麻烦,自己家服务器的api我还得用node搞个middleware。
|
d****n
发帖数: 1637 | 6 让他的api给你加header
"Access-Control-Allow-Origin", "*"
【在 h******b 的大作中提到】
: 公司出个新api, 是oauth 2 authorization code的token验证。 我想搞个前端mvp产
: 品。卡在http.get的cross domain这一步上。
: 三哥说他这个api因为安全问题不能打开cross domain,我本来打算用jsonp他说不支持
: (我稍微有点怀疑这个,毕竟谷歌到过instagram的oauth+jsonp的例子,但毕竟不是我
: 专长)。
: 他建议我用nodejs抓数据然后expose给我的网页。 这样就same domain了。 真的应
: 该这么做吗还是有更好的方案。 数据敏感,让他在服务器端打开cors不可能了。听上
: 去好麻烦,自己家服务器的api我还得用node搞个middleware。
|
c*********e
发帖数: 16335 | 7 这种还是会有安全问题。hacker会利用的。而且,所有的浏览器都支持吗?
【在 d****n 的大作中提到】
: 让他的api给你加header
: "Access-Control-Allow-Origin", "*"
|
c*********e
发帖数: 16335 | 8 现在mvc都快过时了,你还在用mvp?
三哥的api,是restful web services,还是别的?
持。
【在 h******b 的大作中提到】
: 公司出个新api, 是oauth 2 authorization code的token验证。 我想搞个前端mvp产
: 品。卡在http.get的cross domain这一步上。
: 三哥说他这个api因为安全问题不能打开cross domain,我本来打算用jsonp他说不支持
: (我稍微有点怀疑这个,毕竟谷歌到过instagram的oauth+jsonp的例子,但毕竟不是我
: 专长)。
: 他建议我用nodejs抓数据然后expose给我的网页。 这样就same domain了。 真的应
: 该这么做吗还是有更好的方案。 数据敏感,让他在服务器端打开cors不可能了。听上
: 去好麻烦,自己家服务器的api我还得用node搞个middleware。
|
h******b
发帖数: 6055 | 9 mvp minimum viable product, 只想证明这个项目可行,顺便找借口学习一下mean。
是oauth 2的rest。不能cors也不能jsonp。
最后从了他,写了一个本地服务器上express的api来call他的api。等于我加了一个
middle ware。 在browser里我call自己domain的api来获取数据。
js单语言优势还是很明显的,基本上就是client code直接copy/paste到服务器。
【在 c*********e 的大作中提到】
: 现在mvc都快过时了,你还在用mvp?
: 三哥的api,是restful web services,还是别的?
:
: 持。
|
h******b
发帖数: 6055 | 10 https://blog.javascripting.com/2015/01/17/dont-hassle-with-cors/
其实我本来希望用这个思路解决的。
但怎么都搞不定,高人帮忙看看,怎么样才能网页上http.get localhost, 但实际上是
连外域。 |
|
|
c*********e
发帖数: 16335 | 11 既然是restful,你从哪儿都可以call restful web services啊。不懂你在说什么。
【在 h******b 的大作中提到】
: mvp minimum viable product, 只想证明这个项目可行,顺便找借口学习一下mean。
: 是oauth 2的rest。不能cors也不能jsonp。
: 最后从了他,写了一个本地服务器上express的api来call他的api。等于我加了一个
: middle ware。 在browser里我call自己domain的api来获取数据。
: js单语言优势还是很明显的,基本上就是client code直接copy/paste到服务器。
|
h******b
发帖数: 6055 | 12 browser会block cross domain的call。
【在 c*********e 的大作中提到】
: 既然是restful,你从哪儿都可以call restful web services啊。不懂你在说什么。
|
a9
发帖数: 21638 | 13 不就是local请求localserver,然后server转发这个请求到remote吗?哪儿搞不定?
加一些输出看看问题出在哪里。
【在 h******b 的大作中提到】
: https://blog.javascripting.com/2015/01/17/dont-hassle-with-cors/
: 其实我本来希望用这个思路解决的。
: 但怎么都搞不定,高人帮忙看看,怎么样才能网页上http.get localhost, 但实际上是
: 连外域。
|
r**i
发帖数: 1222 | 14 如果authorization code grant,那access token request肯定在backend。不然人家
会从browser log你的clientid secret。
按照你的想法,就该用implicit grant。将在angular哪里处理token fragment
【在 a9 的大作中提到】
: 不就是local请求localserver,然后server转发这个请求到remote吗?哪儿搞不定?
: 加一些输出看看问题出在哪里。
|
a9
发帖数: 21638 | 15 这不冲突啊,再说这也是两码事儿。
【在 r**i 的大作中提到】
: 如果authorization code grant,那access token request肯定在backend。不然人家
: 会从browser log你的clientid secret。
: 按照你的想法,就该用implicit grant。将在angular哪里处理token fragment
|
c*********e
发帖数: 16335 | 16 那就从server side call api呗。
【在 h******b 的大作中提到】
: browser会block cross domain的call。
|
h******b
发帖数: 6055 | 17 嗯最后只能这么搞。
【在 c*********e 的大作中提到】
: 那就从server side call api呗。
|
n*****t
发帖数: 22014 | 18 不一定是 *,可以只允许 sister domain 访问。另外这种安全措施毫无意义,我完全
可以加个 browser plugin 来访问。
【在 d****n 的大作中提到】
: 让他的api给你加header
: "Access-Control-Allow-Origin", "*"
|
t***j
发帖数: 2620 | 19 mvc过时了那现在流行啥新东西?
【在 c*********e 的大作中提到】
: 现在mvc都快过时了,你还在用mvp?
: 三哥的api,是restful web services,还是别的?
:
: 持。
|
