我们有一个生成令牌的身份验证服务器。 我们理解,使用令牌,当您发出HTTP请求时,您必须在HTTP标头中传递Authentication Bearer:xxxxx。
现在我的问题是,用户是否可以使用令牌创建附件并向发件人发送电子邮件,然后发件人从附件中提取令牌并对身份验证服务器进行验证?
感谢您的时间和帮助,
答案 0 :(得分:0)
从技术上讲,这是可能的,但没有任何额外的测量,它是不安全的,它会违反规范https://tools.ietf.org/html/rfc6749#section-10.3,说:
访问令牌凭据(以及任何机密访问令牌) 属性)必须在运输和存储过程中保密 在授权服务器之间共享,资源服务器访问 令牌有效,以及发出访问令牌的客户端。
由于电子邮件通过不受保护的渠道,您必须应用一些机密性和完整性机制(例如加密电子邮件/附件)以便以安全的方式利用它。