我正在开发一个RESTful Web服务实现,并希望为我的RESTful Web服务提供安全性,但我不想承担注册用户和维护并要求新客户创建另一个帐户的痛苦。
我打算重新使用社交网络的身份验证,例如facebook / twitter / google +。我在线阅读了很多文档,在stackoverflow中有很多问题,但我仍然有点理解这一切是如何工作的。
这是我从所有阅读中理解的内容
我的问题是,这是如何安全的?如果有人访问访问令牌,他们也可以充当经过身份验证的用户。不是吗?
为我清除这种困惑。感谢
答案 0 :(得分:1)
你不要困惑。只要令牌有效,如果未经授权的人获得访问令牌,则可以滥用访问令牌。到期日取决于提供商(例如Facebook,Twitter)。
因此,始终保护此令牌非常重要(SSL用于传输,一些算法用于持久性,另请参阅Securely storing an access token)