[英]Sending Google+ Hybrid server-side flow one time authorization code over HTTP Safe?
您好,我將要從使用Googles客戶端流切換到混合服務器端流,因為在向客戶端發送access_token之前,我將其發送給服務器,然后在登錄用戶之前驗證用戶身份,為他們創建一個新帳戶,但是由於我無法使用cors使用https,因此無法安全發送。
我查看了不同的方式,似乎混合服務器端流程始終是我一直想要的流程,我唯一的問題是,使用ajax通過http發送一次性授權代碼是否安全?
我認為這是因為它僅可使用一次,而一旦服務器使用它,它將通過curl使用HTTPS,反正不再具有任何價值。 這樣,access_token只能位於服務器上,而永遠不會位於客戶端上,這似乎比使用客戶端流的舊方法安全得多。
簡短的答案是: 絕對不是
更長的答案取決於風險級別和您願意接受的風險,但是總的來說,這似乎是個壞主意。 它假定客戶端和服務器之間的連接被攔截或操縱的可能性很小,或者被oauth保護的信息的價值是難以置信的,任何人都不會嘗試。 這些似乎都不是安全的前景。
例如,純粹是臨時的,位於客戶端和服務器之間的流氓路由器攔截請求(如果知道請求的可能性)並首先使用客戶端代碼本身並不困難。 這可能會在您的服務器和客戶端上引起各種問題,這可能需要一段時間才能解決...在此期間,流氓可以訪問任何正在被授權的服務。 還有其他場景,與此場景類似,可能同樣成問題。
更好的問題是-為什么要這樣做? 您是否有理由不願意設置SSL服務器,即使是具有自簽名證書的服務器也不願意?
javascript Chrome擴展程序的Google Drive API授權的服務器端流程
[英]Server-side flow for Google Drive API authorization of a javascript Chrome extension
Google Analytics Embed API 服務端授權圖表定制
[英]Google Analytics Embed API Server-side Authorization Customization of Charts
在 javascript 對象服務器端 Google Code.gs 中發送附件
[英]sending attachment in javascript object server-side Google Code.gs
Google跟蹤代碼管理器和優化服務器端實驗發送變體
[英]Google Tag Manager & Optimize Server-Side experiment sending variation
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
