Oauth 2后续请求如何得到保护?
我对于JWT的oauth2是如何运作的新手但是必须在短时间内学习它:)在阅读了比特后,我得出了它的工作的结论摘要。
现在我脑子里有两个问题。
(1)我对OAth2如何工作的理解方式是否合适?
(2)据我所知,在步骤6(图表)之后没有对授权服务器的进一步请求。然后,任何人(入侵者)都知道由auth服务器提供的令牌女巫可以与Web API通信并获得未经授权的访问。如果不可能。 (我知道这个令牌不会被入侵者改变,因为那时web api是新的,但是没有改变它仍然可以通过web api进行通信)
我知道我错过了什么,请告诉我我错过的地方?
1 个答案:
答案 0 :(得分:0)
您必须采取安全措施来保护您的令牌不被盗。这与防止会话ID在基于会话的身份验证中被盗无异。
无论如何检索令牌,任何有权访问有效令牌的人都是经过身份验证的用户。
您的Web API是否与身份验证系统直接通信无关紧要。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?