Bra*_*ows 8 oauth oauth-2.0
一旦我使用OAuth收到网站(比如facebook)的访问令牌,保密这个有多重要?如果有人拿到一个,可能会发生任何恶意事件吗?
我想知道将令牌保存在cookie或会话中是不是一个坏主意.
Jos*_*osh 5
是的,访问令牌等同于您的用户名/密码。大多数实现会在一段时间后使访问令牌过期,但当它仍然有效时,它必须保密。
bka*_*aid 4
更新:如果您让用户与 javascript sdk 连接,则用户 ID 和访问令牌已存储在您站点的 cookie 中。检查正在发送的 http cookie。如果不是,请检查FB.Init文档,因为 FB.Init 有一个 cookies 布尔参数,您可以设置它,以便它为您创建一个名为 fbs_{APPID} 的 cookie。 这篇文章讨论了那个cookie。
归档时间:
14 年,12 月 前
查看次数:
3104 次
最近记录:
14 年 前