0
我已读的OAuth的不同的流,并具有关于授权码流混乱。据说,授权码流更安全,因为即使授权码,同时转移劫持,这是没用的黑客,因为黑客需要在客户端ID和客户端密钥,以获得访问令牌 - 但如果当客户端在收到授权码后请求访问令牌,黑客窃听传输并获取访问令牌? 我不知道,但它看起来像授权代码只添加一个额外的安全层,但实际上并不完全固定的访问令牌。 我对不对?请纠正我。授权码流OAuth中可以拦截访问令牌吗?
A
回答
0
典型的用例的授权码流是令牌请求(即交换授权代码的访问令牌之一)做了一个TLS保护的暗道,这意味着攻击者无法得到它 - 除非他能够打破SSL,在这种情况下会出现更大的问题。
但前路使用的情况下,即在一个浏览器的JavaScript应用程序或单页应用程序你是对的:黑客可能几乎一样容易拦截令牌请求的重定向。这也是为什么这个用例不能使用一个机密的客户端,因为这个秘密太容易被暴露。
相关问题
- 1. 无法从OAuth 2.0获取访问令牌授权码流程
- 2. Microsoft.Owin.Security.Oauth承载令牌授权拦截
- 3. linkedin oauth不能交换访问令牌的授权代码
- 4. Facebook授权访问令牌?
- 5. 未经授权访问访问令牌
- 6. Java的OAuth授权访问令牌问题
- 7. 将OAuth访问令牌保存在用户Cookie中可以吗?
- 8. spotifpy oauth授权码流
- 9. 从授权获取Facebook令牌访问
- 10. OAuth访问令牌可以用作公共ID吗?
- 11. OAuth授权 - 建立请求令牌
- 12. Tweetsharp授权呈现没有OAuth令牌
- 13. 使用cookie存储oauth授权令牌
- 14. 显示OAuth访问令牌安全吗?
- 15. 在Oauth授权流程中提供URI请求以获取请求令牌时(未访问Yahoo API)
- 16. 如何将授权令牌传递给GET方法以访问授权资源?
- 17. 的OAuth 2访问令牌
- 18. 如何存储访问令牌? (Oauth 2,身份验证码流)
- 19. Retrofit2:添加访问令牌中的查询参数与拦截
- 20. torii获取授权码,而不是访问令牌
- 21. Spring - oauth2 - 刷新和访问令牌的交换授权码
- 22. 我可以显式更改从OAuth 2中授权代码授权流程生成的Access令牌的到期时间吗?
- 23. Struts2的 - 令牌会话拦截问题
- 24. 谷歌的OAuth:无法获取刷新令牌与授权码
- 25. OAuth授权代码授予 - Docusign - 调用生成授权来从授权代码生成访问和刷新令牌时的错误响应
- 26. OAuth 2.0代码授权流程
- 27. AngularJS中Infinity-scroll的授权拦截器
- 28. OAuth访问Google Drive授权问题
- 29. 授权令牌值
- 30. oauth中的请求和访问令牌
你好,你说的“授权码流是令牌请求(即交换授权代码的访问令牌之一)通过TLS保护暗道完成”但如果这个流用于通过TLS保护的反向通道,为什么auth服务器在用户认证应用时不能返回访问令牌而不是认证码? –
因为这将是与授权码流中的前声道,通过定义 –
@HansZ您好。我不同意你答案的第二部分。 RFC6749不阻止公共客户端使用授权码流程。 防止使用截取的身份验证发出访问令牌。代码与这种客户端类型,RFC7636引入了一个代码验证器。草案https://tools.ietf.org/html/draft-ietf-oauth-security-topics-03#section-5.1.1表明它是原生应用的首选方式。 –