我正在考虑将twitter登录到我的网站。我正在使用一个处理所有事情的图书馆。但是,第一步:检索请求令牌,twitter {b> strongly recommends you use HTTPS for all OAuth authorization steps
。
还有一个问题,Twitter发回给你的oauth_token是否会改变每个请求?当twitter发送一个访问令牌数组时,它的值会在用户下次登录时更改 - 我问这个是因为我想将它们保存在数据库中。
我看到很多网站没有使用HTTPS。回到我的问题,没有https使用oauth是否安全?
答案 0 :(得分:6)
我会说不,使用常规http for OAuth是不安全的。对不使用https的登录进行中间攻击是相对简单的。最近有很多人抱怨他们的Twitter和facebook账号被这种方法攻击。许多人,比如我自己,现在使用浏览器插件强制网站twitter和facebook自动加入https。对于使用无线互联网的人来说,这种攻击特别普遍。特别是在咖啡馆,酒店或机场等共享无线网络。