Ava*_*mar 5 authorization oauth single-sign-on access-token
一旦我成功登录到身份验证服务器,服务器就会重定向回带有授权代码的应用程序。然后这个授权码用于在后端获取访问令牌。我怀疑是否有人在我使用之前看到/捕获或复制了我的授权码。然后他也可以使用我的凭据登录。我想知道,我的想法正确吗?或者我在这个过程中缺少一些安全流程。
编辑:我最关心的情况是有人在我的浏览器历史记录中看到了授权代码,然后他从其他机器发送此代码以获取访问令牌。我们怎样才能防止它。
您是对的:这就是为什么在 OAuth 2.0 中应该有一个固定的、已注册的回调 URI,客户端可以在该 URI 上接收授权代码,该 URI 由 OpenID Connect 等配置文件强制执行。规范的安全考虑部分更深入地分析了授权代码概念的风险: https: //www.rfc-editor.org/rfc/rfc6749#section-10.5
| 归档时间: |
|
| 查看次数: |
576 次 |
| 最近记录: |