oauth-2.0 - OAuth 隐式授权流程:安全隐患和在 URL 片段中将访问令牌传递给应用程序的替代方法
问题描述
我一直在查看隐式授权流程,看起来在某些应用程序中,访问令牌使用 URL 片段传递回应用程序(请参阅这些 Okta 文档:https ://developer.okta.com/blog/2018 /05/24/what-is-the-oauth2-implicit-grant-type#the-implicit-grant )
我很好奇以下几点:
- 像这样将访问令牌传递回应用程序有什么安全隐患?
- 有没有其他方法可以安全地将访问令牌传回应用程序?
解决方案
直接从授权端点返回访问令牌的流已被弃用,不应被新应用程序使用。它们没有新发现的问题,只是旨在解决不再是问题的问题(跨站点请求,CORS,自 2010 年以来已经走过了漫长的道路)。
OAuth 2 隐式流程以及密码授权类型已被https://datatracker.ietf.org/doc/html/draft-ietf-oauth-security-topics-18和https://datatracker.ietf 弃用。 org/doc/html/draft-ietf-oauth-v2-1-02
- 见https://medium.com/oauth-2/why-you-should-stop-using-the-oauth-implicit-grant-2436ced1c926
- 使用代码流,或者OIDC混合流,或者使用form_post响应模式
推荐阅读
- powershell - 如何在 Powershell 中停止持续 PING
- django - Django 问题:审批表:我应该使用UpdateView 的DetailView 吗?
- rust - 从 tokio::test 在 tokio 中生成一个任务
- java - ControllerExceptionHandler 在 Spring Boot 应用程序上不起作用
- python-3.x - 出现次数
- mysql - MySql 触发器替换文本
- visual-studio-2019 - PDB 与图像不匹配错误 - 远程调试 VS2019
- java - java中的二维数组
- r - 在闪亮的仪表板中使用 for 循环在框中打印文本
- c++ - 这是动态内存分配的好做法还是坏做法?