竊取oAuth2中的訪問令牌
[英]Stealing access tokens in oAuth2
問題描述
如果使用客戶端流,則回調URL包含訪問令牌。 因此,如果回調URL是通過HTTP發送的,那么它是否容易受到捕獲和濫用。
如果我的應用程序的用戶2獲得用戶1的訪問令牌,則他可以訪問用戶1的帳戶。
同樣,如果用戶復制了回調URL並將其發送給某人,那么他將在不知不覺中向其他人發送對其帳戶的訪問權限。
我可以想到一些緩解此問題的方法-使回調URL為HTTPS,並在客戶端腳本上從URL等中刪除訪問令牌。這是您應該如何處理的
1 個解決方案
解決方案1
0 已采納 2011-12-11 18:58:48
客戶端流在URL的哈希部分( /path?#access_token=abcdef )中而不是在查詢部分中發送oauth_token。 接收客戶端最好將其存儲在sessionStorage (或其他方式)中,並最終使用window.location.hash = ''; 將其從網址中刪除。
Oauth2 Implicit Flow使用單頁面應用程序刷新訪問令牌
[英]Oauth2 Implicit Flow with single-page-app refreshing access tokens
為什么不將OAuth2訪問令牌存儲為HttpOnly安全cookie? 如何在Node.js應用程序中工作?
[英]Why aren't OAuth2 access tokens stored as HttpOnly secure cookies? How would that work in a Node.js application?
使用angular.js中的OAuth2創建的令牌管理身份驗證
[英]manage authentication with tokens created with OAuth2 in angular.js
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
在OAuth2中使用Access Tokens with JavaScript
如何在 React 應用程序中存儲 OAuth2 訪問令牌?
OAuth和訪問令牌
Oauth2 Implicit Flow使用單頁面應用程序刷新訪問令牌
在異步JS中刷新OAuth2令牌
為什么不將OAuth2訪問令牌存儲為HttpOnly安全cookie? 如何在Node.js應用程序中工作?
如何將oauth2令牌發送到客戶端並存儲它們?
使用angular.js中的OAuth2創建的令牌管理身份驗證
通過javascript訪問OAuth2令牌的正確方法
從OAuth2檢索令牌授權angularjs中的端點
相關標簽