如果使用客户端流,则回调URL包含访问令牌。 因此,如果回调URL是通过HTTP发送的,那么它是否容易受到捕获和滥用。
如果我的应用程序的用户2获得用户1的访问令牌,则他可以访问用户1的帐户。
同样,如果用户复制了回调URL并将其发送给某人,那么他将在不知不觉中向其他人发送对其帐户的访问权限。
我可以想到一些缓解此问题的方法-使回调URL为HTTPS,并在客户端脚本上从URL等中删除访问令牌。这是您应该如何处理的
如果使用客户端流,则回调URL包含访问令牌。 因此,如果回调URL是通过HTTP发送的,那么它是否容易受到捕获和滥用。
如果我的应用程序的用户2获得用户1的访问令牌,则他可以访问用户1的帐户。
同样,如果用户复制了回调URL并将其发送给某人,那么他将在不知不觉中向其他人发送对其帐户的访问权限。
我可以想到一些缓解此问题的方法-使回调URL为HTTPS,并在客户端脚本上从URL等中删除访问令牌。这是您应该如何处理的
客户端流在URL的哈希部分( /path?#access_token=abcdef
)中而不是在查询部分中发送oauth_token。 接收客户端最好将其存储在sessionStorage
(或其他方式)中,并最终使用window.location.hash = '';
将其从网址中删除。