在授权代码流程中我们应该检查令牌吗?

时间:2017-02-01 05:12:24

标签: oauth-2.0 google-oauth facebook-oauth oauth2

即时流程因混乱问题而陷入困境know problem,因此您必须检查您收到的access_token是否已提供给您的应用程序。

我一直认为这不是授权代码流的问题,但在this answer中提到它并非如此,即使在授权令牌流中也必须验证令牌。

但老实说,我无法找出必要的工作流程。就像我们收到一个代码,然后直接请求一个令牌(指定client_secret)。我不明白在这个流程中我们如何被迫使用错误的令牌。

1 个答案:

答案 0 :(得分:1)

您所引用的答案是关于传递给资源服务器的access_token。这也是一般情况下,混淆的副手"问题适用。

在您的帖子中,您可以参考交付给客户的授权码。这是不同的,并没有遭受与描述相同的混乱的副攻击。

应该注意的是,如果客户端与多个授权服务器(AS)谈话,授权代码授权类型可能容易受到相关攻击(" Authorization Server Mixup")同样的原因:客户端无法检测授权代码是否实际由其认为与之通信的AS发布。注册特定于每个AS的重定向URI可解决此问题。