oauth - OAuth授权码流安全问题(授权码被黑客截获)
问题描述
一些我无法绕过的东西。据我了解,授权代码流应该比隐式流更安全,因为令牌不是直接从授权服务器发送到客户端,而是由您的后端检索。所以流程基本上是:
- 浏览器获取授权码(作为排序的 URL 参数)。
- 将其发送到公共后端端点。
- 后端将代码 + 客户端密码发送到授权服务器,检索令牌并将其存储在客户端的 cookie/本地存储中以供进一步使用。
在这个流程中,所有教程都将授权码描述为对黑客无用,这是为什么呢?黑客不能使用 Postman 或其他一些客户端并直接访问您的(公共)API,使其通过第 3 步,从而以相同的方式检索令牌吗?
我在这里想念什么?
解决方案
仅使用code一次。在攻击者可能获得访问权限的许多情况下code,它已经被交换为访问令牌,因此无用。
是authorization_code一次性令牌。
推荐阅读
- javascript - Javascript函数将输入输入变量
- xml - 使用 PowerShell 更新单节点 XML 文件
- javascript - 超时后启动函数
- ios - 谁能向我解释这些 iPhone 日志?
- vba - 如果满足特定条件,如何在单元格中添加一行?
- dart - 如何在 Dart 中为 Maps 创建接口?
- perl - 在 Unix 中转换行中未定义的列数
- rubygems - Jekyll 重复 gem 错误但文件中没有重复?
- swift - Timer.publish() vs Timer(fire:...)
- reactjs - 如何在 reactnative 中的 webservice 确认时禁用 react native 中的按钮