我正在学习更多有关Oauth2概念的知识,并对使用Spring Oauth2模块非常感兴趣。在了解访问令牌时我有点迷失。我们如何防止access_tokens遭到入侵?我知道整个令牌交换使用HTTPS进行,但是当客户端可以使用HTTP访问资源时。此外,access_token可能是短暂的,但它确实有一个可以被泄露的窗口。我的理解是否正确?
如何防止这种情况?我看到一些可以与access_token一起传递的token_secret,但我不确定Spring的OAuth 2实现是否使用它。
What is the Access Token vs. Access Token Secret and Consumer Key vs. Consumer Secret
如果我走错了路,请纠正我。感谢。
答案 0 :(得分:1)
你是对的。访问令牌可能会因多种威胁而受到威胁(有些威胁模型,请参阅RFC6819)。
但是一些规范(或正在进行的规范)增加了防止访问令牌受到损害的方法,或者帮助您在被盗时限制不良影响。