我有一个服务器,我正在使用API v2.2测试connect with Facebook事物,当用户点击该按钮并允许我的应用程序时,他会获得身份验证并重定向回我的网站http://example.com/?#access_token=<REDACTED>太棒了,所以删除部分是授权用户的access_token。
现在,我正在思考另一个观点,即任何攻击者都可以在他的网站上抓取access_token /代表其他用户?请注意,我已经在Facebook开发人员中将我的域http://example.com列入白名单,因此redirect_uri到另一个站点将无法正常工作,我的网站上有1-2页,所以显然没有URL - 重定向...那么任何可能发生严重事情的方法都会发生吗?
答案 0 :(得分:0)
是。攻击者可能会代表用户(资源所有者)获取access_token并请求访问权限。 假设是在令牌交换发生之前就已经采取了基本的安全措施。
如: