假设用户正在访问特定资源:
http://myapp/resource/id?access_token=123
他的同事问他该特定资源的链接是什么。用户发送包含TOKEN TOKEN的链接!现在,同事以其他用户的身份访问该链接!有办法防止这种情况吗?
我唯一能想到的是服务器只接受POST请求,这样客户端就不需要将令牌放入链接中。还有其他方法吗?
更一般的问题是,如果不使用会话变量,服务器如何知道发送带有访问令牌的请求的用户是否与验证客户端的用户相同?
答案 0 :(得分:2)
您不应在URL中存储访问令牌。 Cookie是存储访问凭据的常用方法。它们不会显示在URL中,并且可以对JavaScript不可见,因此它们本身不太可能意外地在不应该的地方结束。