我有两个问题:
Q1:为什么OAuth2要求对序列进行排序和编码(对于2脚)?
所有它必须担心的是给定数据(查询字符串)的最终匹配签名.
我们可以检查使用查询字符串生成的签名(例如?a = 1&b = 2).由于签名是基于客户端和提供者只知道的密钥生成的,因此我们只能考虑没有任何排序/编码的查询字符串.
那么,在进行排序/编码然后创建签名时有什么好处?
Q2:这个签名怎么能让我免受中间人攻击?
如果我必须从客户端向我的服务器发出这样的请求:
increaseUserPoints?userId=1&pointsToAdd=5&appId=x&token=XYZ
现在令牌XYZ将始终相同,因此黑客可以继续发布相同的请求以增加points.由于来自给定的生成令牌appId是相同的,服务器将允许这样做.这个案子是如何处理的?
oauth-2.0 ×1