如果使用客户端流,则回调URL包含访问令牌。 因此,如果回调URL是通过HTTP发送的,那么它是否容易受到捕获和滥用。

如果我的应用程序的用户2获得用户1的访问令牌,则他可以访问用户1的帐户。

同样,如果用户复制了回调URL并将其发送给某人,那么他将在不知不觉中向其他人发送对其帐户的访问权限。

我可以想到一些缓解此问题的方法-使回调URL为HTTPS,并在客户端脚本上从URL等中删除访问令牌。这是您应该如何处理的

===============>>#1 票数:0 已采纳

客户端流在URL的哈希部分( /path?#access_token=abcdef )中而不是在查询部分中发送oauth_token。 接收客户端最好将其存储在sessionStorage (或其他方式)中,并最终使用window.location.hash = ''; 将其从网址中删除。

  ask by Aishwar translate from so

未解决问题?本站智能推荐:

3回复

如何存储访问令牌? (Oauth 2,Auth代码流程)

据我所知,授权代码流的目的是交换访问令牌的授权码。 此交换发生在为页面和授权服务器提供服务的服务器之间,因此实际访问令牌不会暴露给客户端用户。 一旦获取了访问令牌,页面服务器应该如何存储? 我正在从Pluralsight示例中学习,其中包含以下代码: 这将导致每个请求检查coo
3回复

OAuth2中客户端密钥的目的是什么?

我有一个提供API的应用程序。 此应用是OAuth2提供商。 我想使用仅客户端的应用程序访问此API(读取和写入)。 我正在使用JSO来简化这一过程。 它很棒。 问题是,我不必在任何地方输入我的客户机密(我在我的应用程序中注册的应用程序)。 而且我理解为什么,然后任何人都
2回复

HTTP基本身份验证+访问令牌?

我正在开发一个REST API,我打算使用Web和IOS应用程序。 我打算让这个API私有化一段时间(私人意味着我只希望我的网络应用程序和ios应用程序访问api)。 我已经阅读了许多不同的身份验证方法,但我仍然很困惑为我的API选择适当的身份验证方法。 据我所知,oAuth2允许
1回复

如何坚持OAuth 2刷新令牌

找不到有关实施OAuth 2刷新令牌持久性的最佳方法的任何指导,以及有关实际存储内容和方式的常见意见。 虽然Taiseer Joudeh对ASP.NET Web API中的OAuth授权有很好的了解。 这是文章中的RefreshTokens表: 其中: Id - 唯一令牌标识符的
1回复

我使用哪个OAuth2身份验证流程用于PWA +服务器端应用程序

我正在尝试为应用程序选择正确的身份验证流程: Fontend是一个Progressiwe Web App,只能通过HTTPS访问。 它是在Angular,单页应用程序中完成的。 外部自动化服务器 后端可通过REST调用访问 目前我正在使用授权代码授权流程。
1回复

OAuth最佳做法

我正在编写应用程序,并使用OAuth进行身份验证并获取用户的电子邮件。 我已经成功进行身份验证,但是不确定如何管理会话。 我想保护自己的资源,但是我不希望每次用户进入新页面时都进行重新身份验证。 电流 用户点击“使用Google登录” 用户被重定向到Google以批准
1回复

为什么在其他Oauth 2.0授权类型中不需要认证URL而不是授权代码?

我很了解所有Oauth授权类型,包括用例,但我有一个问题,我已经看到很多授权代码的例子,所以如果我说授权代码授权类型的部分步骤客户实际上需要用资源服务器注册他自己所以那里他必须提供两个网址 1.Redirect URL(客户想要使用其授权码) 2.Authentication URL(
3回复

OAuth 2.0 - 什么是新的?

有人可以列举OAuth 2.0和以前版本之间的主要区别吗? 或者指出我的文档。 (不是完整的OAuth 2.0协议草案 ;我没有时间阅读它。)
1回复

如何防止OAuth攻击(请参阅攻击场景)?

这是攻击者如何接管受害者帐户的攻击场景: 攻击者已通过provider.com进行了身份验证 攻击者在某个site.com上启动使用provider.com进行身份验证的过程 攻击者不交换访问令牌的身份验证代码,而是复制链接https://provider.com/oa
1回复

OAuth身份验证和消费者机密

我有一个网络服务,可充当智能手机应用程序的后端。 我希望能够尽可能轻松地对用户进行身份验证,但是即使我认为我了解OAuth,我也必须承认到处都有一些遗漏的内容。 认证方式: 假设用户有一部Android手机。 他可能已经通过了Google身份验证,如果我可以将此身份验证扩展到