您好我将使用谷歌客户端流程切换到 混合服务器端流,因为在客户端发送一个access_token然后我将发送到服务器,然后在登录之前验证用户或为他们创建一个新帐户,但因为我无法得到cors使用https,我无法安全地发送它。
我查看了不同的方式,似乎混合服务器端流程是我一直想要的那个,我唯一的问题是,使用http发送一次性授权代码是否安全ajax?
我认为这是因为它只能使用一次,一旦服务器使用它,使用curl将超过https,它不再具有任何价值。然后,access_token将只在服务器上,并且永远不会在客户端上,这似乎比使用客户端流程的旧方式更安全。
答案 0 :(得分:2)
简短的回答是:绝对不是
更长的答案取决于风险等级以及您愿意接受的风险,但总的来说,这似乎是一个坏主意。它假定客户端和服务器之间的连接被截获或操纵的可能性很小,或者被oauth保护的信息具有令人难以置信的低值,没有人会尝试过。这些都不像是安全的前景。
例如,纯粹随便,客户端和服务器之间的流氓路由器拦截请求(如果它知道它的可能性)并首先使用客户端代码本身并不困难。这可能会导致服务器和客户端上的各种问题,这可能需要一段时间才能解决...在此期间,流氓可以访问任何正在授权的服务。还有其他类似于此的情况,这可能同样存在问题。
更好的问题是 - 你为什么要这样做?您是否有理由不愿意设置SSL服务器,即使是拥有自签名证书的服务器?