如何解决OAuth授权码流安全问题被黑客截获的授权码
我无法理解的东西。 据我了解,授权代码流应该比隐式流更安全,因为令牌不是从授权服务器直接发送到客户端,而是由后端检索。 所以流程基本上是:
在此流程中,所有教程都将授权码描述为对黑客无用,这是为什么呢?黑客不能使用 Postman 或其他一些客户端并直接访问您的(公共)API,使其通过第 3 步,从而以相同的方式检索令牌吗?
我在这里遗漏了什么?
解决方法
code 只使用一次。在攻击者可以访问 code 的许多情况下,它已经被交换为访问令牌,因此没有用。
authorization_code 是一次性令牌。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
