即时流程因混乱问题而陷入困境know problem,因此您必须检查您收到的access_token是否已提供给您的应用程序。
我一直认为这不是授权代码流的问题,但在this answer中提到它并非如此,即使在授权令牌流中也必须验证令牌。
但老实说,我无法找出必要的工作流程。就像我们收到一个代码,然后直接请求一个令牌(指定client_secret)。我不明白在这个流程中我们如何被迫使用错误的令牌。
答案 0 :(得分:1)
您所引用的答案是关于传递给资源服务器的access_token。这也是一般情况下,混淆的副手"问题适用。
在您的帖子中,您可以参考交付给客户的授权码。这是不同的,并没有遭受与描述相同的混乱的副攻击。
应该注意的是,如果客户端与多个授权服务器(AS)谈话,授权代码授权类型可能容易受到相关攻击(" Authorization Server Mixup")同样的原因:客户端无法检测授权代码是否实际由其认为与之通信的AS发布。注册特定于每个AS的重定向URI可解决此问题。