0
我已讀的OAuth的不同的流,並具有關於授權碼流混亂。據說,授權碼流更安全,因爲即使授權碼,同時轉移劫持,這是沒用的黑客,因爲黑客需要在客戶端ID和客戶端密鑰,以獲得訪問令牌 - 但如果當客戶端在收到授權碼後請求訪問令牌,黑客竊聽傳輸並獲取訪問令牌? 我不知道,但它看起來像授權代碼只添加一個額外的安全層,但實際上並不完全固定的訪問令牌。 我對不對?請糾正我。授權碼流OAuth中可以攔截訪問令牌嗎?
A
回答
0
典型的用例的授權碼流是令牌請求(即交換授權代碼的訪問令牌之一)做了一個TLS保護的暗道,這意味着攻擊者無法得到它 - 除非他能夠打破SSL,在這種情況下會出現更大的問題。
但前路使用的情況下,即在一個瀏覽器的JavaScript應用程序或單頁應用程序你是對的:黑客可能幾乎一樣容易攔截令牌請求的重定向。這也是爲什麼這個用例不能使用一個機密的客戶端,因爲這個祕密太容易被暴露。
相關問題
- 1. 無法從OAuth 2.0獲取訪問令牌授權碼流程
- 2. Struts2:攔截器可以處理未經授權的訪問嗎?
- 3. Microsoft.Owin.Security.Oauth承載令牌授權攔截
- 4. linkedin oauth不能交換訪問令牌的授權代碼
- 5. 如何使用授權碼向Battle.net OAuth請求訪問令牌?
- 6. Facebook授權訪問令牌?
- 7. 未經授權訪問訪問令牌
- 8. Java的OAuth授權訪問令牌問題
- 9. 將OAuth訪問令牌保存在用戶Cookie中可以嗎?
- 10. spotifpy oauth授權碼流
- 11. 訪問令牌網址和授權URL
- 12. 獲取訪問令牌和授權
- 13. 從授權獲取Facebook令牌訪問
- 14. oauth訪問令牌以獲得新的訪問令牌
- 15. OAuth訪問令牌可以用作公共ID嗎?
- 16. 使用Google的oauth使用授權碼獲取訪問令牌的錯誤
- 17. OAuth授權 - 建立請求令牌
- 18. 使用cookie存儲oauth授權令牌
- 19. Tweetsharp授權呈現沒有OAuth令牌
- 20. 顯示OAuth訪問令牌安全嗎?
- 21. Fitbit訪問令牌隱式授權流程
- 22. 在Oauth授權流程中提供URI請求以獲取請求令牌時(未訪問Yahoo API)
- 23. 如何將授權令牌傳遞給GET方法以訪問授權資源?
- 24. Spring引導OAuth2 - OAuth令牌不返回授權令牌
- 25. 如何設置額外數據到訪問令牌的授權碼流
- 26. 問題使用令牌攔截器與驗證攔截
- 27. 的OAuth 2訪問令牌
- 28. Facebook4j與OAUTH訪問令牌
- 29. OAuth和訪問令牌
- 30. Retrofit2:添加訪問令牌中的查詢參數與攔截
你好,你說的「授權碼流是令牌請求(即交換授權代碼的訪問令牌之一)通過TLS保護暗道完成」但如果這個流用於通過TLS保護的反向通道,爲什麼auth服務器在用戶認證應用時不能返回訪問令牌而不是認證碼? –
因爲這將是與授權碼流中的前聲道,通過定義 –
@HansZ您好。我不同意你答案的第二部分。 RFC6749不阻止公共客戶端使用授權碼流程。 防止使用截取的身份驗證發出訪問令牌。代碼與這種客戶端類型,RFC7636引入了一個代碼驗證器。草案https://tools.ietf.org/html/draft-ietf-oauth-security-topics-03#section-5.1.1表明它是原生應用的首選方式。 –