2
隱式流程被認爲是不安全的。我知道兩個問題:隱式流程的安全隱患是什麼
- Confused deputy。但爲了克服它,你只需要檢查access_token是否提供給你的應用程序。沒什麼大不了的。
- XSS攻擊。因此,如果我們的access_token通過XSS攻擊被盜,它可以用來發出請求(這是我們最初請求的範圍的一部分)。它很糟糕,但很難竊取access_token,因爲最有可能我們只有在我們的登錄頁面上纔有它,並且沒有存儲在應用程序狀態中,因爲它很短(我猜這就是爲什麼隱式工作流程不支持刷新標記)。
它看起來不錯。是否還有其他安全漏洞,我不知道?