那些遇到过的问题

禁用 Google OAuth(Web 服务器应用程序)的隐式流?

Mon*_*nis 5 oauth oauth-2.0 google-oauth

对于 Web 服务器应用程序,Google 表示使用应用程序类型“Web 应用程序” - 请参阅:

https://developers.google.com/identity/protocols/OAuth2WebServer

但是从测试来看,这似乎允许最终用户将用户发送到的 url 中的 response_type 从“代码”更改为“令牌”,然后允许他们在身份验证流程结束时直接获取访问令牌。

其他一些 API 提供商在 OAuth 应用程序的设置屏幕中提供了一种机制,以完全禁用此身份验证流程,这似乎很合理。

我在这里错过了什么吗?

归档时间:

查看次数:

122 次

最近记录:

8 年,1 月 前
相关归档
Haskell独立桌面应用程序身份验证(使用google/facebook/twitter/etc帐户) 15
使用OAuth的Youtube API单用户场景(上传视频) 11
错误 403:access_denied 尽管正在创建新项目,但开发人员尚未授予您访问此应用的权限 10
是否可以从 vscode 扩展中对 OAuth 2.0 API 进行身份验证 6
OAuth LTI 签名无效 5
使用基本身份验证获取 OAuth 令牌 5
Okta 的发现 url 是什么 4
Auth0 - 为什么范围不足以及如何处理? 3
Live Connect OAuth2是否存在严重的重放攻击问题?为什么授权码可以多次使用? 1
RESTful Web服务+ Spring Security:具有访问令牌的API服务? 1
难疑归档
关闭/隐藏Android软键盘 3641
我应该在MySQL中使用日期时间或时间戳数据类型吗? 2598
为什么"使用命名空间std"被认为是不好的做法? 2486
什么是非捕获组?(?:)做什么? 1653
在Git中撤消一个文件的工作副本修改? 1550
短路Array.forEach就像调用break 1429
Git push需要用户名和密码 1327
将JS对象转换为JSON字符串 1199
检查是否使用jQuery选中了复选框 1122
字段和属性之间有什么区别? 1032