#oauth2
3 catatan
95 view
Tue, 12 Jul 2016 2:04 pm
#oauth2 #google dengan javascript client running well di webkoe.id, berikutnya adalah memasukkan data user terotentikasi ke db server. Ane pikir kata kunci disini adalah email user. Jadi ketika user telah terotentikasi, email user dimasukkan ke mongodb, dengan api nya #webkoe. Titik rawannya adalah api buatan sendiri ini, api ini yang menjembatani antara javascript client dan server (ajax request). Jika itu web client, maka sangat mungkin terjadi kiriman FAKE. User bisa saja langsung mengakses api webkoe, tanpa melewati oauthnya google, sepanjang user ini tau email target. Sebenarnya hal ini sudah ada solusinya dengan oauth google server-to-server, namun ane masih stuck dengan model ini. Sudah ane coba, dan hasilnya selalu "invalid_grant". Entah ada kesalahan dibagian mana,... mungkin ini untuk step selanjutnya saja. Sementara ini nyoba komunikasi dengan javascript saja dulu.... karena email masih mungkin diketahui orang lain, maka ane mencari keyword lainnya untuk dijadikan pembanding. Ada sedikit titik terang dari respon oauth, auth2.currentUser.get().getBasicProfile() mengembalikan param "Ka", ane pikir nilai "Ka" ini sepanjang selalu konstan, bisa ane jadikan pembanding. Jadi, untuk mengakses api webkoe nantinya, selain email, juga mesti tau nilai Ka-nya.