我是OAUTH的新手并尝试理解规范。因此,根据spec protocol flow,我了解客户端A可以获取授权代码,然后获取受保护资源的访问令牌。
现在,如果已获取访问令牌,则服务(例如已链接)期望访问令牌成为URL查询的一部分,See their interface document。
现在,如果客户端A与客户端B共享访问令牌,或者例如任何人拦截请求,并获取访问令牌,那么他也可以开始访问客户端A可以访问的所有详细信息。这种理解是否正确?如果是,那么我们如何保护这种访问令牌共享/滥用?
答案 0 :(得分:0)
有多种方法可以将访问令牌传递给受保护资源的端点。例如,作为查询参数,如:
access_token={Your-Access-Token}
另一个例子是承载令牌使用(RFC 6750),其中访问令牌嵌入在授权标头中,如:
Authorization: Bearer {Your-Access-Token}
每个服务都定义了如何传递访问令牌。
访问令牌必须保密。如果客户端B获得发布给客户端A的访问令牌,则客户端B的行为就像客户端A一样。是的,存在访问令牌泄漏的风险,因此访问令牌的生命周期有限,并且这是大多数服务具有页面,以便用户撤消访问令牌。