Question

Если используется поток клиента, URL обратного вызова содержит токен доступа.Поэтому, если URL-адрес обратного вызова отправляется по HTTP, не уязвим ли он для захвата и неправильного использования.

Если пользователь 2 моего приложения получает токен доступа пользователя 1, он может получить доступ к учетной записи пользователя 1.

Также, если пользователь копирует URL-адрес обратного вызова и отправляет его кому-то, он неосознанно отправляет другому человеку доступ к своей учетной записи.

Я могу придумать некоторые способы смягчения этого - сделатьURL-адрес обратного вызова HTTPS, а в клиентском скрипте удалите маркер доступа из URL-адреса и т. д. Это то, как вы, вероятно, будете иметь дело с этим

Tom van der Woerdt · Answer 1 · 11 декабря 2011

Поток на стороне клиента отправляет oauth_token в хеш-части URL (/path?#access_token=abcdef), а не в части запроса. Тогда для принимающего клиента будет хорошей идеей сохранить его в sessionStorage (или в другом месте) и, наконец, использовать window.location.hash = '';, чтобы удалить его из URL.

Кража токенов доступа в oAuth2

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Кража токенов доступа в oAuth2

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов