0
按照IETF的OAuth 2.0文檔RFC 6749,這是暗示,這是一個很好的做法不暴露授權服務器頒發給資源所有者令牌:爲什麼它被認爲不是與資源所有者共享訪問令牌的好處?
授權碼提供了一些重要的安全利益, 諸如驗證客戶端的能力,以及在 傳輸的訪問令牌直接向客戶端,而不 使其通過資源所有者的用戶代理和潛在 其暴露給其他人,包括資源所有者 。
你知道這個的任何理由嗎?
A
回答
0
它強調訪問令牌是必須保密,並只提供給憑據:
- 發出他們
- 資源服務器用於該證書是有效的
- 的授權服務器客戶端應用程序應用程序
甚至沒有資源所有者需要訪問這些憑據;授權代碼中最重要的部分當然是降低了暴露給他人的風險,但是,明確提示資源所有者明確指出訪問令牌的目標接收者是客戶端應用程序。
相關問題
- 1. 使用Facebook訪問令牌作爲OAuth2.0中的資源所有者憑據
- 2. 如何與訪問令牌共享?
- 3. 什麼是訪問令牌與訪問令牌的祕密和消費者密鑰與消費者的祕密
- 4. 只有共享功能的類 - 爲什麼它不好?
- 5. Facebook USER訪問令牌,用於代替公共資源的APP訪問令牌
- 6. 什麼是共享工作者?工人與共享工人有什麼不同?
- 7. WPF共享資源問題 - 沒有App.xaml,沒有共享資源
- 8. 是否可以從共享資源訪問JSF 2非共享資源
- 9. 爲什麼訪問令牌已更改?
- 10. 爲什麼公共頁面Feed需要訪問令牌?
- 11. 爲什麼我需要刷新令牌的refreh訪問令牌
- 12. 爲什麼OAuth設計爲具有請求令牌和訪問令牌?
- 13. 爲什麼Facebook圖需要訪問令牌而不是相冊?
- 14. 爲什麼$在cakePHP中被認爲是不好的做法?
- 15. 爲什麼before_save被認爲是不好的?
- 16. 併發訪問共享資源
- 17. 從jar共享庫訪問資源
- 18. 鎖定可變對象 - 爲什麼它被認爲是不好的做法?
- 19. Mac OSX? Linux呢? X?侏儒? KDE?爲什麼osx被認爲是linux,爲什麼它不被認爲是linux?
- 20. 共享庫何時被認爲是共享的「相同」?
- 21. 爲什麼@SessionsScoped EJB會被所有用戶共享?
- 22. 使用JSF2資源有什麼好處?
- 23. 獲取令牌以訪問Azure資源
- 24. CORS跨源資源共享和Json Web令牌
- 25. 這是什麼資源,爲什麼Android不能找到它?
- 26. 訪問不安全資源時訪問令牌無效oauth2
- 27. 爲訪問服務器資源生成令牌
- 28. Dictonary作爲默認類參數爲所有類實例共享,爲什麼?
- 29. 爲什麼有兩個令牌OpenID Connect中的訪問和ID
- 30. 使用資源所有者流返回刷新令牌
也許這是爲了強調,toke的暴露應該保持最小限度,但是,我沒有找到任何理由爲什麼最終用戶不應該有權訪問令牌。 – mok
就像我所說的訪問令牌是爲客戶端應用程序設計的,將其暴露給資源所有者只是不必要地增加了泄漏的可能性。例如,最終用戶可以爲其添加書籤,共享包含訪問令牌的鏈接等。 –