如果使用clientside流,则回调URL包含访问令牌。因此,如果回调URL是通过HTTP发送的,则不容易被捕获和滥用。
如果我的应用的用户2获得了用户1的访问令牌,他就可以访问用户1的帐户。
此外,如果用户复制回调网址并将其发送给某人,他就会在不知情的情况下将其他人发送给他的帐户。
我可以想到一些减轻这种情况的方法 - 使用回调网址HTTPS,并在客户端脚本中删除URL中的访问令牌等。这是你应该如何处理这个
答案 0 :(得分:0)
客户端流程在URL(/path?#access_token=abcdef)的哈希部分中发送oauth_token,而不是在查询部分中。接收客户端最好将其存储在sessionStorage(或其他内容)中,最后使用window.location.hash = '';将其从网址中删除。