通过OAuth 2.0请求访问应用程序时,您需要某些凭据。在谷歌的情况下,将用户发送到允许访问的页面的请求URL包含客户端ID和秘密。这不会让数据公开,任何人都可以代表我的应用程序获取对应用程序的请求访问权限吗?
另外,OAuth只能通过浏览器实现,还是可以完全实现服务器端?
如果我遗漏了一些显而易见的东西,我对此非常陌生。所以道歉。
答案 0 :(得分:2)
您对包含客户端ID和客户端密钥的OAuth 2.0授权服务器的调用必须通过加密通道(=使用SSL / TLS)进行。 standard说(第2.3.1章):
The authorization server MUST require the use of TLS as described in Section 1.6 when sending requests using password authentication.