0
如果使用客戶端流,回調URL包含訪問令牌。因此,如果通過HTTP發送回調URL,是不是很容易被捕獲和濫用。在oAuth2中竊取訪問令牌
如果我的應用的用戶2獲取用戶1的訪問令牌,他可以訪問用戶1的帳戶。
此外,如果用戶複製回叫網址並將其發送給某人,他會不知不覺地將其他人訪問他的帳戶。
我能想到的緩解的某些方面,這 - 使回調URL HTTPS,並在客戶端腳本從URL等刪除訪問令牌是如何你預計處理這個
A
回答
0
的客戶方流在URL的散列部分發送oauth_token(/path?#access_token=abcdef),而不是在查詢部分。接收客戶端將其存儲在sessionStorage(或其他)中是一個好主意,最後使用window.location.hash = '';將其從URL中刪除。
相關問題
- 1. 在OAuth2中獲取訪問令牌
- 2. OAuth2訪問令牌響應
- 3. 設計(OAuth2)訪問令牌
- 4. Python oauth2 - 獲取訪問令牌
- 5. WinRT - OAuth2獲取訪問令牌
- 6. DocuSign中的OAuth2訪問令牌限制
- 7. OAuth2中的永久訪問令牌
- 8. 春季OAuth2訪問令牌在HTTP頭
- 9. 撤銷訪問令牌 - Web API(OAuth2)
- 10. YouTube api v3 debug oauth2訪問令牌
- 11. 的oauth2訪問令牌到期
- 12. 的OAuth2訪問令牌活動會話
- 13. Spring安全OAuth2 - 驗證訪問令牌
- 14. Node.js的OAuth2以訪問令牌
- 15. 爲什麼不可能竊取訪問令牌?
- 16. 刷新訪問令牌後彈出OAuth2刷新令牌
- 17. 爲WS- * SAML令牌交換OAuth2訪問令牌(或OpenID Connect id_token)?
- 18. Linkedin使用node.js爲OAuth2訪問令牌交換JS API令牌?
- 19. Spring OAuth2 - 在令牌存儲區中手動創建訪問令牌
- 20. YouTube Oauth2令牌問題
- 21. 獲取OAuth2刷新令牌
- 22. 錯誤獲取的OAuth2訪問令牌:500錯誤
- 23. Soundcloud(Oauth2)API獲取訪問令牌失敗
- 24. Ping Fed OAuth2定製授予獲取訪問/刷新令牌?
- 25. fecing「Google_Auth_Exception」 WROR獲取的OAuth2訪問令牌,消息:「invalid_client」錯誤
- 26. 無法獲取谷歌分析API的oAuth2訪問令牌
- 27. 如何通過OAuth2從vKontakte(VK)獲取訪問令牌?
- 28. 無法使用OAuth2與Exchange獲取訪問令牌
- 29. 通過Swift獲取Youtube API的OAuth2訪問令牌
- 30. 爲什麼我要獲取訪問令牌? (OAuth2)
謝謝湯姆。是的,這也是我的想法,存儲令牌並將其從url/hash中移除。你怎麼看待使用HTTP的回調URL。這不是不安全的嗎(例如,如果我可以監聽網絡流量,我將能夠看到某人的訪問令牌爲純文本)?我們應該使用HTTPS嗎?當你在註冊你的應用程序時指定一個回調URL時,我感到很驚訝,這不是由Google等強制執行的。 – Aishwar
散列實際上不是在HTTP請求中發送的,它是客戶端的事情。只有重定向的服務器才知道access_token,並且該服務器應該具有SSL(根據OAuth規範)。如果規範完全實現,則OAuth 2的服務器實現可以被認爲是安全的。 –
啊,我明白了。當谷歌重定向到回調url時,我的印象就是這樣,如果請求/響應被檢查,這個整個url將是可見的 - 但似乎並非如此(用Fiddler檢查)。感謝你的回答 :) – Aishwar