將來自移動客戶端的OAUTH訪問令牌傳遞到服務器

Question

我已經在PHP中爲多個移動應用程序的REST API啓用了Oauth協議。

一旦我將訪問令牌從服務器傳遞到客戶端，客戶端就可以將其存儲在任何地方以用於進一步的服務器調用。這些令牌值有多安全，因爲任何人都可以輕鬆地在客戶端攻擊令牌或任何存儲的值。

此外，什麼是使用訪問令牌從客戶端到服務器進行REST調用的最佳方法？它應該始終是POST還是可以使用GET來保護訪問令牌？我只是想知道什麼是避免安全攻擊的最佳方法。

Answer 1

OAut本身是安全的，如果你還擔心你可以做下面的事情。 使用SSL並使其成爲安全套接字。 您也可以加密將在客戶端解密的令牌。

服務器和客戶端需要遵循相同的加密和解密算法。

我想這會減輕你的噩夢。