我正在学习OAuth 2.0。使用授权码流时,只需传递客户端ID就足够了。从理论上讲,这是否意味着攻击者可以轻松生成多个授权码?
同意屏幕不使用客户机密的原因是什么?这是安全的,因为授权服务器应该提供HTTPS连接。
是否只是为了简单起见,才允许像这样在客户端进行链接?
<a href="https://koala-auth.com/authorize?client_id=abc123">Login with Koala Auth</a>
答案 0 :(得分:0)
否,根据RFC-6749第1.3.1节,在退还授权码之前,授权服务器会对用户进行身份验证。因此,客户端ID并不是获得授权码所需的唯一数据。
这不是因为资源所有者将用户代理重定向到授权服务器,该授权服务器将向该授权服务器返回授权码:在提供授权码之前,用户代理必须完成与有效用户的验证步骤回到资源所有者。