我对spring-security oauth很新,因此也是问题。
如果我使用Spring安全性的默认oauth实现,请使用以下命令:
http://localhost:8080/test-api/oauth/token?grant_type=implicit&client_id=test-app&client_secret=mysec1&username=user&password=password
我理解正确,在这种情况下,所有用户名,密码,凭据都将显示在URL中。这不是安全风险。如果所有这些都作为帖子参数传递,那就不是更好。
任何帮助将不胜感激
答案 0 :(得分:2)
当使用https(s!)时,OAuth2仅以安全的方式工作。在Https中,请求参数被加密。所以请求参数是安全的!