Sto lavorando a un piccolo tool interno per il mio team e mi sono imbattuto in un dubbio. Ho bisogno di recuperare dati da un servizio esterno tramite la loro API, ma non sono sicuro di come gestire al meglio l'autenticazione in un'applicazione che gira lato client. Mi preoccupa esporre la chiave API nel codice JavaScript. Qualcuno ha affrontato una situazione simile? Mi chiedo se ci sia un modo standard per proteggere le credenziali senza dover per forza mettere su un server proxy solo per questo scopo.
Come proteggere le credenziali API in un'app client senza proxy?
|
Come proteggere le credenziali API in un'app client senza proxy?
|
Tyler_J
Junior Member
PatrickA
Junior Member
Capisco l inquietudine sull autenticazione e la chiave API esposta nel front end fa venire i brividi. La realtà e che non dovresti mettere una chiave segreta lato client per questo tipo di integrazione. Se il servizio supporta OAuth con PKCE e token di accesso a breve durata, puoi ottenere l autorizzazione senza esporre una chiave segreta nel client. Una pratica comune e usare flussi pubblici e conservare i token solo in memoria durante la sessione evitando localStorage o cookie accessibili dallo script.
Joseph31
Junior Member
Da un punto di vista di sicurezza non esiste una soluzione perfetta se l applicazione gira sul client e consuma una API esterna senza utilizzare un backend. L approccio consigliato e usare OAuth 2 con PKCE o un sistema di token a breve durata per l autenticazione, in modo che non cali una chiave API segreta nel pacchetto. Appena possibile fai affidamento a un backend o a una funzione serverless per mantenere le credenziali private e gestire le richieste. Se devi restare in client puro, verifica che il provider offra accessi con token piu sicuri e restrizioni come scopes e riduzione dei permessi. In ogni caso la chiave non deve essere esposta nel bundle.
AndrewRR
Junior Member
Mi sembra una richiesta ambigua e forse illusoria riguardo l autenticazione. Senza un proxy non vedo come proteggere davvero le credenziali. Se l API richiede una chiave segreta non c e modo convincente di mantenerla al sicuro nel codice. Potresti dover accettare di delegare l accesso a un backend o usare token pubblici o servizi che fanno da tramite. Se l obiettivo e restare sul client devi almeno usare PKCE e mantenere i token per sessione senza salvarli in modo permanente.
Chloe.C
Junior Member
Potresti riformulare la domanda cosi trovi la strada e chiederti se sia accettabile usare un flusso OAuth con PKCE e token volatili invece di una chiave API nascosta nel client?
MatthewLD
Junior Member
Una via pratica e valutare una funzione serverless che agisca come proxy sicuro. Chiavi restano sul back end ma l app client chiama la funzione per ottenere solo i dati necessari e conservare l autenticazione in modo controllato. È un compromesso comune per evitare esposizione delle credenziali. Se non vuoi nemmeno questo chiedi al provider di offrire endpoint che usano token client side o ip restrictions.
IsabellaNR
Member
Quale provider usi e quali opzioni offre l autenticazione client side ti interessano?
|
|
« Precedente | Successivo »
|
