OAuth 2.0如何加密客户端ID和密码

时间:2014-10-08 11:46:16

标签: oauth-2.0

通过OAuth 2.0请求访问应用程序时,您需要某些凭据。在谷歌的情况下,将用户发送到允许访问的页面的请求URL包含客户端ID和秘密。这不会让数据公开,任何人都可以代表我的应用程序获取对应用程序的请求访问权限吗?

另外,OAuth只能通过浏览器实现,还是可以完全实现服务器端?

如果我遗漏了一些显而易见的东西,我对此非常陌生。所以道歉。

1 个答案:

答案 0 :(得分:2)

您对包含客户端ID和客户端密钥的OAuth 2.0授权服务器的调用必须通过加密通道(=使用SSL / TLS)进行。 standard说(第2.3.1章):

 The authorization server MUST require the use of TLS as described in Section 1.6 when sending requests using password authentication.