标签: oauth-2.0
我最近开始使用OAuth2身份验证流程。在使用它时,我看到在authcode流中,客户端允许AuthServer对用户进行身份验证,然后向客户端返回身份验证代码,然后客户端将使用该身份验证代码交换令牌。
我的问题是:验证码可以很小:最少10个十六进制数字。这真的安全吗?如果恶意客户端获得了客户端凭据,难道不能通过简单地尝试许多身份验证代码直到找到有效的身份验证代码来进行暴力攻击?
或者验证码的长度是留给验证服务器的实现细节吗?
谢谢!
亚历克斯