隐含流量被认为是不安全的。我意识到两个问题:
看起来并不太糟糕。是否还有其他我不知道的安全漏洞?
答案 0 :(得分:6)
正确的陈述应该是
隐式流程对代码流不安全相对。
如果攻击者想要使用代码流从应用程序窃取用户访问权限,则攻击者必须闯入服务器网络并发现应用程序密码或窃听从服务器到Google(即HTTPS)的网络流量获取访问令牌。
在隐含流中,访问令牌驻留在浏览器中。在这种情况下,攻击者可以通过许多其他方式窃取令牌,而不必牺牲网络。
但正如您所说,如果您是一名安全意识的开发人员,可以直接缓解所有这些错误。但是,如果实现隐式流,仍然存在这些漏洞的可能性。因此,如果您不将令牌传递给浏览器并处理服务器端组件中的令牌(代码流),那么这可能是个好主意。