前端成长记录

繁體中文(台)

中文
English
日本語
繁體中文(港)

繁體中文(台)

中文
English
日本語
繁體中文(港)

深色模式

⚠️ This article was written in 2021. Some content may be outdated.

OAuth 2.0 PKCE 前端認證流程

·2 min read·326 字·前端JavaScript

在日常開發中,OAuth 2.0 PKCE 前端認證流程的使用頻率越來越高。本文系統地講解其用法、原理和最佳化策略。

快速上手

在這個基礎上,我們可以進一步最佳化:

javascript
function setCSP(req, res, next) {
  const nonce = crypto.randomBytes(16).toString('base64')
  res.setHeader('Content-Security-Policy', [
    "default-src 'self'",
    `script-src 'self' 'nonce-${nonce}'`,
    "style-src 'self' 'unsafe-inline'",
    "img-src 'self' data: https:",
    "connect-src 'self' https://api.example.com",
    "frame-ancestors 'none'"
  ].join('; '))
  next()
}

這種模式在大型專案中非常實用,能顯著降低維護成本。

內部原理

實際專案中的用法會更復雜一些:

javascript
function setCSP(req, res, next) {
  const nonce = crypto.randomBytes(16).toString('base64')
  res.setHeader('Content-Security-Policy', [
    "default-src 'self'",
    `script-src 'self' 'nonce-${nonce}'`,
    "style-src 'self' 'unsafe-inline'",
    "img-src 'self' data: https:",
    "connect-src 'self' https://api.example.com",
    "frame-ancestors 'none'"
  ].join('; '))
  next()
}

通過這種方式,程式碼的可測試性和可擴充套件性都得到了提升。

業務實戰

以下是一個完整的示例:

javascript
function setCSP(req, res, next) {
  const nonce = crypto.randomBytes(16).toString('base64')
  res.setHeader('Content-Security-Policy', [
    "default-src 'self'",
    `script-src 'self' 'nonce-${nonce}'`,
    "style-src 'self' 'unsafe-inline'",
    "img-src 'self' data: https:",
    "connect-src 'self' https://api.example.com",
    "frame-ancestors 'none'"
  ].join('; '))
  next()
}

注意邊界條件處理,這在生產環境中至關重要。

效能對比

關鍵在於理解核心邏輯:

javascript
function setCSP(req, res, next) {
  const nonce = crypto.randomBytes(16).toString('base64')
  res.setHeader('Content-Security-Policy', [
    "default-src 'self'",
    `script-src 'self' 'nonce-${nonce}'`,
    "style-src 'self' 'unsafe-inline'",
    "img-src 'self' data: https:",
    "connect-src 'self' https://api.example.com",
    "frame-ancestors 'none'"
  ].join('; '))
  next()
}

效能最佳化需要結合具體場景,不是所有情況都需要過度最佳化。

問題排查

我們可以通過以下方式來改進:

javascript
function setCSP(req, res, next) {
  const nonce = crypto.randomBytes(16).toString('base64')
  res.setHeader('Content-Security-Policy', [
    "default-src 'self'",
    `script-src 'self' 'nonce-${nonce}'`,
    "style-src 'self' 'unsafe-inline'",
    "img-src 'self' data: https:",
    "connect-src 'self' https://api.example.com",
    "frame-ancestors 'none'"
  ].join('; '))
  next()
}

這套方案已經在線上穩定運行了半年以上,經過了實際驗證。

小結

  • 團隊協作中約定和文件比技術本身更重要
  • 關注社群動態,技術方案需要持續迭代
  • 不要為了用新技術而用新技術
  • 程式碼示例僅供參考,需根據業務場景調整

MIT Licensed

前端成长记录 2018 - 2026