隐式方法在网站上的Access_Token是一个安全含义?

时间:2016-06-21 07:47:49

标签: facebook facebook-graph-api oauth oauth-2.0

我有一个服务器,我正在使用API​​ v2.2测试connect with Facebook事物,当用户点击该按钮并允许我的应用程序时,他会获得身份验证并重定向回我的网站http://example.com/?#access_token=<REDACTED>太棒了,所以删除部分是授权用户的access_token

现在,我正在思考另一个观点,即任何攻击者都可以在他的网站上抓取access_token /代表其他用户?请注意,我已经在Facebook开发人员中将我的域http://example.com列入白名单,因此redirect_uri到另一个站点将无法正常工作,我的网站上有1-2页,所以显然没有URL - 重定向...那么任何可能发生严重事情的方法都会发生吗?

1 个答案:

答案 0 :(得分:0)

是。攻击者可能会代表用户(资源所有者)获取access_token并请求访问权限。 假设是在令牌交换发生之前就已经采取了基本的安全措施。

如:

  • 通信已加密(https) - 以避免窃听
  • 使用其他令牌保护措施,例如状态参数(和nonce,如果可用),同时发送隐式流请求(有关可选参数下的状态参数this answer的更多详细信息) - 主要是为了防止CSRF和
  • 显而易见的 - 不要在客户端代码中共享客户端密码(即公共客户端)