0
比方說,用戶在訪問特定資源:防止用戶
http://myapp/resource/id?access_token=123
和他的同事問他的鏈接到特定的資源是什麼。用戶發送他的鏈接,包括代幣!現在該同事以另一個用戶的身份訪問該鏈接!有沒有辦法來防止這種情況?
我能想到的唯一的事情是針對服務器只接受POST請求,這種方式,客戶端不需要把令牌中的鏈接。還有其他方法可以做到這一點嗎?
一個更普遍的問題是,不使用會話變量,如何可以在服務器知道,如果用戶在發送與訪問令牌請求知道這是否是相同的用戶誰認證的客戶端嗎?
你是怎麼結束了在第一位置的URL訪問令牌?你的cookies發生了什麼事? – 2014-10-01 01:47:40
Cookie是存儲令牌的最佳方式。順便說一下,我的代幣只有15分鐘。 – 2014-10-01 02:23:00
是的,Cookie是存儲訪問憑證的常用方式。它們不會顯示在URL中,並且可以被JavaScript隱藏,所以它們本質上不太可能意外地結束了它們不應該的地方。 – 2014-10-01 02:24:34