我目前正在学习OAuth2,我对它的一部分感到有些困惑。 OAuth2服务器是否将JWT中的域与请求标头中的域进行比较?
是什么阻止有人从JS应用程序中删除持票人令牌,然后使用它来发出欺诈性API请求?即使使用HTTPS,从OAuth2发回的令牌仍然必须存储,然后才能在后续请求中使用,从而使其易受攻击。我错过了什么?
编辑:如果我从非浏览器客户端创建oauth2令牌并且没有可匹配的域名,该怎么办?
答案 0 :(得分:1)
没有什么能阻止它被使用。这就是为什么你要安全地存放它或者根本不存储它的原因。