OAuth2.0协议的access_token为什么放在url中

rc447516551 2017-03-24 08:02:36
我看了微信和阿里巴巴开放平台的文档,关于使用OAuth2.0协议进行认证授权的接口中,令牌access_token都放在url中,请问大神,这样直接放在地址栏中安全吗?不是很容易被人看到吗?
为什么不把access_token放在cookie里?
...全文
1164 5 打赏 收藏 转发到动态 举报
写回复
用AI写文章
5 条回复
切换为时间正序
请发表友善的回复…
发表回复
ywq198119 2019-01-02
  • 打赏
  • 举报
 回复 1
腾讯要求以https的方式来访问接口,URL中域名之后的内容属于应用层,均被加密了,所以担心是多余的了。
rc447516551 2017-04-01
  • 打赏
  • 举报
 回复
哦,明白了,你说的是获取用户信息,需要用户授权的回调页面是需要指定url地址了, 我说的access_token是普通access_token。 从安全性讲,放url和cookie是一样的, 那从规范或者其他利弊角度,还有其他因素吗?
X-i-n 2017-03-29
  • 打赏
  • 举报
 回复
回调页面必须在后台配置的域名下面。另外,cookie本身也可以修改,从安全性上来讲和url是一样的。
rc447516551 2017-03-29
  • 打赏
  • 举报
 回复
不对呀,微信设置的后台回调域名是js使用的,url地址不管在什么服务器调用都是可以的
X-i-n 2017-03-27
  • 打赏
  • 举报
 回复
没必要。因为你需要在他们的后台配置回调域名呀,除非你能黑掉腾讯或者阿里的服务器的DNS做劫持。
OAUTH协议简介
OAuth协议提供了一个安全、开放且简易的标准,允许第三方应用获取用户资源授权而无需用户名和密码。它解决了用户在不同服务间授权的问题,避免了安全性降低。OAuth涉及的主要角色有Request Token URL、User Authorization URLAccess Token URL,以及相应的参数定义。认证流程包括获取Request Token、用户授权和获取Access Token。目前,许多知名公司如Google、Yahoo、Microsoft已采用OAuth作为授权标准。
OAuth2.0四种授权模式以及Oauth2.0实战
本文详细介绍了OAuth2.0的四种授权模式:授权码许可机制、客户端凭据机制、资源拥有者凭据机制(密码模式)和隐式许可机制,并通过时序图展示了每个模式的工作流程。此外,还提供了OAuth2.0授权服务器、客户端和资源服务器的配置及测试案例,包括自定义授权模式的实现。最后,文章提供了关于授权码、access_token的安全存储和使用建议。
一文精通JWT Token、ID TokenAccess Token、Refresh Token
本文详细介绍了JWT Token、ID TokenAccess Token和Refresh Token。JWT适用于单点登录,有标准样式和认证流程;ID Token是特定JWT,用于表明用户身份;Access Token用于访问资源API;Refresh Token可更新过期的Access Token。还对比了它们的用途、内容和使用场景。
阿里巴巴开放平台Oauth2.0协议获取access_token
本文详细介绍了如何使用Alibaba开放平台SDK进行OAuth2.0认证,包括获取Code、通过Code换取access_token的过程,并提供了在ThinkPHP5、Yii和Laravel框架集成的具体代码示例。
微信OAuth 2.0登录流程及原理深度解析
本文深入解析微信OAuth 2.0登录流程及原理,介绍了OAuth 2.0协议基础,阐述微信登录具体步骤,包括获取授权码、换access_token、取用户信息。还提及安全机制、不同平台实现差异、最佳实践及未来发展方向,助开发者保障用户数据安全。
网络协议与配置

1,748

社区成员

1,304

社区内容

发帖
与我相关
我的任务
社区描述
网络协议与配置相关内容讨论专区
网络协议网络安全tcp/ip 技术论坛(原bbs)
社区管理员
  • 网络协议与配置社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章