1,744
社区成员
发帖
与我相关
我的任务
分享OAuth2.0协议的access_token为什么放在url中
我看了微信和阿里巴巴开放平台的文档,关于使用OAuth2.0协议进行认证授权的接口中,令牌access_token都放在url中,请问大神,这样直接放在地址栏中安全吗?不是很容易被人看到吗?
为什么不把access_token放在cookie里?
为什么不把access_token放在cookie里?
...全文
请发表友善的回复…
发表回复
ywq198119 2019-01-02
- 打赏
- 举报
腾讯要求以https的方式来访问接口,URL中域名之后的内容属于应用层,均被加密了,所以担心是多余的了。
rc447516551 2017-04-01
- 打赏
- 举报
哦,明白了,你说的是获取用户信息,需要用户授权的回调页面是需要指定url地址了, 我说的access_token是普通access_token。
从安全性讲,放url和cookie是一样的, 那从规范或者其他利弊角度,还有其他因素吗?
X-i-n 2017-03-29
- 打赏
- 举报
回调页面必须在后台配置的域名下面。另外,cookie本身也可以修改,从安全性上来讲和url是一样的。
rc447516551 2017-03-29
- 打赏
- 举报
不对呀,微信设置的后台回调域名是js使用的,url地址不管在什么服务器调用都是可以的
X-i-n 2017-03-27
- 打赏
- 举报
没必要。因为你需要在他们的后台配置回调域名呀,除非你能黑掉腾讯或者阿里的服务器的DNS做劫持。
