如何保护Oauth 2后续请求?
如何保护Oauth 2后续请求?
提问于 2017-11-12 17:48:30
我对使用JWT的oauth2是如何工作的新手,但必须在短时间内学习它:)在阅读了bit之后,我总结了它的工作摘要如下。
现在我有两个问题。
(1)我对OAth2工作原理的理解是正确的吗?
(2)据我所知,在步骤6(图)之后,没有对授权服务器的进一步请求。然后,任何人(入侵者)都知道身份验证服务器提供的令牌可以与web API通信,并且不可能获得未经授权的access.how。(我知道令牌不会被入侵者更改,因为从那时起,web api就新了,入侵者仍然可以与web api通信,但不会更改令牌)
我知道我错过了什么,请告诉我我错过了哪里?
回答 1
Stack Overflow用户
发布于 2017-11-12 18:08:41
你必须采取安全措施来保护你的令牌不被盗。这与在基于会话的身份验证中防止会话id被窃取没有区别。
根据定义,任何有权访问有效令牌的用户都是经过身份验证的用户,无论令牌是如何检索的。
您的web API是否直接与身份验证系统通信并不重要。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/47247406
复制相关文章
相似问题
腾讯云开发者
