如果使用客户端流,则回调URL包含访问令牌。 因此,如果回调URL是通过HTTP发送的,那么它是否容易受到捕获和滥用。

如果我的应用程序的用户2获得用户1的访问令牌,则他可以访问用户1的帐户。

同样,如果用户复制了回调URL并将其发送给某人,那么他将在不知不觉中向其他人发送对其帐户的访问权限。

我可以想到一些缓解此问题的方法-使回调URL为HTTPS,并在客户端脚本上从URL等中删除访问令牌。这是您应该如何处理的

===============>>#1 票数:0 已采纳

客户端流在URL的哈希部分( /path?#access_token=abcdef )中而不是在查询部分中发送oauth_token。 接收客户端最好将其存储在sessionStorage (或其他方式)中,并最终使用window.location.hash = ''; 将其从网址中删除。

  ask by Aishwar translate from so

未解决问题?本站智能推荐: