QA@IT

フロントサイドでアクセストークンをURLに含めるのはセキュリティ的にNG?

6061 PV

セキュリティについてかなり初心者です。
現在instagram apiを使ったサービスを作っているのですが、以下のようなapiを叩くとき、js側で叩いても良いのでしょうか?jsに書いてしまうと他の人にaccesstokenがわかってしまうので。

https://api.instagram.com/v1/users/{USER_ID}/media/recent/?access_token={ACCESS_TOKEN}

例えば以下のようなjs pluginだと、js側にそのまま書いていて、他の人も見ることが出来る状態だとは思うのですが、
実際これは何かしてあるから大丈夫とかなのでしょうか?

http://lab.adrianquevedo.com/jquery-spectragram/

回答

非HTTPSでやりとりされるHTMLソースにAccess Tokenがべた書きされているのはよろしくないと思います。

  • サーバーはセッションに紐づいたAccess Tokenを保持している
  • HTTPSなページに書かれたJSから自分のサーバーにHTTPSでリクエストを送る
  • 自サーバーはCookieなどで現在のセッションに紐づくAccess Tokenを返す
  • 受け取ったアクセストークンを使ってInstagramにリクエストを送る

とやればAccess Tokenが平文でネットワークを流れないかもしれません。

編集 履歴 (0)
ウォッチ

この質問への回答やコメントをメールでお知らせします。