根据我的理解,oauth2不会签署请求并依赖传输层的安全性(通过https)。这似乎容易受到重放攻击和ssl代理攻击的影响,其中证书未经过验证(这似乎在客户端应用程序中很常见)。
从这个意义上讲,它似乎不像HMAC-sha256那样安全,或者沿着那些方向。这可能适用于某些应用程序,但对于移动大量资金的应用程序来说,这似乎不够安全。我理解正确吗?
答案 0 :(得分:1)
我不得不同意你的看法。在大多数情况下,如果您的用户正在进行需要更高级别审查的活动(即付款),那么您希望获得更高的安全性,甚至还需要一些额外的确认,即它确实是正确的用户。做活动。 OAuth并没有真正提供额外的安全层,我真的不会推荐它用于付款活动。