Outh2.0 access_tokens会受到损害吗?

时间:2016-12-18 23:53:37

标签: spring-boot oauth-2.0 access-token spring-security-oauth2 spring-oauth2

我正在学习更多有关Oauth2概念的知识,并对使用Spring Oauth2模块非常感兴趣。在了解访问令牌时我有点迷失。我们如何防止access_tokens遭到入侵?我知道整个令牌交换使用HTTPS进行,但是当客户端可以使用HTTP访问资源时。此外,access_token可能是短暂的,但它确实有一个可以被泄露的窗口。我的理解是否正确?

如何防止这种情况?我看到一些可以与access_token一起传递的token_secret,但我不确定Spring的OAuth 2实现是否使用它。

What is the Access Token vs. Access Token Secret and Consumer Key vs. Consumer Secret

如果我走错了路,请纠正我。感谢。

1 个答案:

答案 0 :(得分:1)

你是对的。访问令牌可能会因多种威胁而受到威胁(有些威胁模型,请参阅RFC6819)。

但是一些规范(或正在进行的规范)增加了防止访问令牌受到损害的方法,或者帮助您在被盗时限制不良影响。