Abh*_*sai 5 rest web-services spring-security access-token jwt
我正在寻找防止客户共享 oauth 令牌的想法,即创建令牌的客户只能是使用它的客户。在服务器端可以做什么来阻止该客户与其他人共享令牌?
有几个 IETF RFC/草案试图提供一种方法来验证客户端是否是令牌的“所有者”。这些规范与 OAuth2 框架协议相关,但是它们可以在任何其他令牌交换上下文中实现。
他们分别是:
另一个有趣的协议 Hawk 令牌:请参阅https://github.com/hueniverse/hawk(Eran Hammer 是 OAuth2 贡献者)
正如您将看到的,所有这些规范都依赖于客户签署的请求。这似乎是验证客户端是否允许使用令牌的最佳方法。任何其他验证(例如 IP 地址、用户代理、设备 ID...)都不可靠,因为它们可能被欺骗。
| 归档时间: |
|
| 查看次数: |
1567 次 |
| 最近记录: |