我是 OAUTH 的新手,正在尝试理解该规范。所以根据规范协议流程 https://www.rfc-editor.org/rfc/rfc6749#section-1.2,据我了解,客户端 A 可以获得受保护资源的授权代码和访问令牌。
现在,如果已获得访问令牌,则服务(例如链接)期望访问令牌成为 URL 查询的一部分,看他们的接口文档 https://developer.linkedin.com/documents/authentication.
因此,现在如果客户端 A 与客户端 B 共享访问令牌,或者例如任何人拦截请求并获取访问令牌,那么他也可以开始访问客户端 A 可以访问的所有详细信息。这种理解正确吗?如果是,那么我们如何保护这种访问令牌共享/滥用?
有多种方法可以将访问令牌传递到受保护资源的端点。例如,作为查询参数,例如:
access_token={Your-Access-Token}
另一个例子是不记名令牌的使用(RFC 6750 https://www.rfc-editor.org/rfc/rfc6750),其中访问令牌嵌入在授权标头中,例如:
Authorization: Bearer {Your-Access-Token}
如何传递访问令牌由每个服务定义。
访问令牌必须保密。如果客户端 B 获得了颁发给客户端 A 的访问令牌,则客户端 B 的行为就如同客户端 A 一样。是的,存在访问令牌泄漏的风险,因此访问令牌的生命周期有限,这也是大多数服务都具有访问令牌的原因页面使用户能够撤销访问令牌。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)