我正在关注本教程中有关OAuth2.0的信息https://developers.google.com/youtube/v3/guides/authenticationoAuth2.0访问令牌混淆
OAuth2.0的工作原理很清楚。但是我对访问令牌部分有点困惑。
在获取用户的访问令牌后,您的应用程序可以使用该令牌以该用户的名义提交授权的API请求 。 该API支持两种方式来指定访问令牌:指定 访问令牌作为查询的access_token参数的值:
www.googleapis.com/youtube/v3/videos?access_token=ACCESS_TOKEN
如果有人在URL传输过程中获得了此访问令牌,他们可以访问此受保护的资源吗?
服务器如何知道请求是否来自最初请求访问令牌的客户端?
更新: 看完这篇文章Are HTTPS headers encrypted?我的困惑被清除了。我认为查询字符串在网络传输过程中没有加密。
在此请求中,我认为www.googleapis.com/youtube/v3/videos?access_token=ACCESS_TOKEN ACCESS_TOKEN是url的一部分。这不安全吗?为什么谷歌像这样传递访问令牌? – wwli 2013-05-06 21:16:18