标签: facebook google-app-engine oauth-2.0
我们的用户只能使用Facebook Oauth2.0注册并在Google应用引擎上与我们的服务建立联系。
在这种情况下,甚至需要通过https保护连接吗?秘密令牌是否还有可能被中间人攻击嗤之以鼻?或者我们可以留下它吗?
如果用户名/密码用于通过网络保护普通密码,通常必须使用https。对oauth 2.0不太确定。
谢谢,
答案 0 :(得分:4)
是的,这是必要的。安全令牌与用户名/密码一样是凭证。如果有人嗅出它,只要令牌有效,他们就可以劫持用户会话。