0
如果使用客户端流,回调URL包含访问令牌。因此,如果通过HTTP发送回调URL,是不是很容易被捕获和滥用。在oAuth2中窃取访问令牌
如果我的应用的用户2获取用户1的访问令牌,他可以访问用户1的帐户。
此外,如果用户复制回叫网址并将其发送给某人,他会不知不觉地将其他人访问他的帐户。
我能想到的缓解的某些方面,这 - 使回调URL HTTPS,并在客户端脚本从URL等删除访问令牌是如何你预计处理这个
A
回答
0
的客户方流在URL的散列部分发送oauth_token(/path?#access_token=abcdef),而不是在查询部分。接收客户端将其存储在sessionStorage(或其他)中是一个好主意,最后使用window.location.hash = '';将其从URL中删除。
相关问题
- 1. OAuth2访问令牌响应
- 2. .net core获取Oauth2访问令牌
- 3. DocuSign中的OAuth2访问令牌限制
- 4. Spring安全OAuth2 - 验证访问令牌
- 5. YouTube api v3 debug oauth2访问令牌
- 6. 刷新访问令牌后弹出OAuth2刷新令牌
- 7. 无法使用OAuth2与Exchange获取访问令牌
- 8. 错误获取的OAuth2访问令牌:500错误
- 9. 当请求oauth2访问令牌时获取无效范围
- 10. 如何通过OAuth2从vKontakte(VK)获取访问令牌?
- 11. Soundcloud(Oauth2)API获取访问令牌失败
- 12. fecing“Google_Auth_Exception” WROR获取的OAuth2访问令牌,消息:“invalid_client”错误
- 13. 为什么我要获取访问令牌? (OAuth2)
- 14. 无法获取谷歌分析API的oAuth2访问令牌
- 15. 通过Swift获取Youtube API的OAuth2访问令牌
- 16. 访问不安全资源时访问令牌无效oauth2
- 17. 在c#中获取Facebook访问令牌#
- 18. OAuth2令牌PHP
- 19. 我可以使用OAuth2访问令牌为其他客户端获取访问令牌吗?
- 20. 获取用户访问令牌facebook访问令牌节点
- 21. 使用django中的oauth2从刷新令牌生成访问令牌
- 22. 获取Instagram访问令牌
- 23. Facebook获取访问令牌
- 24. 如何在springboot中调用注册rest API时获取oAuth2访问令牌?
- 25. Spring Security OAuth2 JWT令牌中继问题
- 26. Oauth2从隐式授予类型中撤销访问令牌
- 27. Oauth2访问令牌安全问题+ angular 2
- 28. 访问令牌?
- 29. 从aws中获取访问令牌,秘密访问密钥和会话令牌
- 30. 在请求访问令牌时获取500 http错误OAuth2弹簧执行
谢谢汤姆。是的,这也是我的想法,存储令牌并将其从url/hash中移除。你怎么看待使用HTTP的回调URL。这不是不安全的吗(例如,如果我可以监听网络流量,我将能够看到某人的访问令牌为纯文本)?我们应该使用HTTPS吗?当你在注册你的应用程序时指定一个回调URL时,我感到很惊讶,这不是由Google等强制执行的。 – Aishwar
散列实际上不是在HTTP请求中发送的,它是客户端的事情。只有重定向的服务器才知道access_token,并且该服务器应该具有SSL(根据OAuth规范)。如果规范完全实现,则OAuth 2的服务器实现可以被认为是安全的。 –
啊,我明白了。当谷歌重定向到回调url时,我的印象就是这样,如果请求/响应被检查,这个整个url将是可见的 - 但似乎并非如此(用Fiddler检查)。感谢你的回答 :) – Aishwar