Opt*_*nal 5 oauth linkedin-api
我是 OAUTH 的新手,正在尝试理解该规范。因此,根据规范协议流程,我了解到客户端 A 可以获得授权代码,然后获取受保护资源的访问令牌。
现在,如果已经获得了访问令牌,则服务(例如链接)期望访问令牌成为 URL 查询的一部分,请参阅其接口文档。
因此,现在如果客户端 A 与客户端 B 共享访问令牌,或者例如任何人拦截请求并获取访问令牌,那么他也可以开始访问客户端 A 可以访问的所有详细信息。这种理解正确吗?如果是,那么我们如何保护这种访问令牌共享/滥用?
有多种方法可以将访问令牌传递到受保护资源的端点。例如,作为查询参数,例如:
access_token={Your-Access-Token}
另一个示例是承载令牌使用 ( RFC 6750 ),其中访问令牌嵌入在授权标头中,如下所示:
Authorization: Bearer {Your-Access-Token}
如何传递访问令牌由每个服务定义。
访问令牌必须保密。如果客户端 B 获得了颁发给客户端 A 的访问令牌,则客户端 B 的行为就如同客户端 A 一样。是的,存在访问令牌泄漏的风险,因此访问令牌的生命周期有限,这也是大多数服务都具有访问令牌的原因。页面使用户能够撤销访问令牌。
| 归档时间: |
|
| 查看次数: |
3229 次 |
| 最近记录: |