我搜索过类似的问题,但似乎没有人回答这个问题:
假设我正在构建一个简单的oauth用户登录系统,当oauth流程完成后,应该通过GET
查询传递获取的访问令牌,例如/login/provider?access_token=xxxx
(假设是HTTPS),或者我应该将它存储在会话中并在我的REST api调用完成时将其删除(假设HTTPS +签名的cookie)
从我所看到的情况来看:会话方法不会将令牌暴露给用户自己,并且阻止日志文件记录?access_token=xxxx
,似乎是更安全的赌注。
是否有选择GET查询的理由?我的论点是否也适用于OAuth 1令牌和秘密?