如果Oauth中的授權代碼泄漏了怎么辦
[英]What if authorization code in Oauth is leaked
問題描述
一旦我成功登錄到身份驗證服務器,服務器就會使用授權碼重定向回應用程序。 然后,此授權代碼用於在后端獲取訪問令牌。 我的疑問是在使用前是否有人看到/捕獲或復制了我的授權碼。 然后他也可以使用我的憑據登錄。 我想知道,我的想法正確嗎? 或者我在此過程中缺少一些安全流程。
編輯:我主要關心的是有人在我的瀏覽器歷史記錄中看到授權代碼,然后他從其他計算機發送此代碼以獲取訪問令牌的情況。 我們如何預防它。
2 個解決方案
解決方案1
3 2018-06-27 17:23:23
您是正確的:這就是為什么在OAuth 2.0中應該有一個固定的,注冊的回調URI,客戶端將在該URI上接收授權代碼,該代碼由配置文件(例如OpenID Connect)強制執行。 規范的安全注意事項部分更深入地分析了授權代碼概念的風險: https : //tools.ietf.org/html/rfc6749#section-10.5
解決方案2
-2 2018-06-27 23:02:06
谷歌驅動器使用oauth2登錄ruby api,什么是“授權碼”
[英]google drive ruby api login with oauth2, what is “authorization code”
OAuth2在授權代碼授權上的隱式授權的優勢是什么?
[英]What is the advantage in OAuth2 of the implicit grant over Authorization Code grant
OAuth 授權碼流安全問題(授權碼被黑客截獲)
[英]OAuth authorization code flow security question (authorization code intercepted by a hacker)
OAuth 授權代碼和隱式工作流之間有什么區別? 什么時候使用每一種?
[英]What is the difference between the OAuth Authorization Code and Implicit workflows? When to use each one?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.