社区
网络协议与配置
帖子详情
OAuth2.0协议的access_token为什么放在url中
rc447516551
2017-03-24 08:02:36
我看了微信和阿里巴巴开放平台的文档,关于使用OAuth2.0协议进行认证授权的接口中,令牌access_token都放在url中,请问大神,这样直接放在地址栏中安全吗?不是很容易被人看到吗?
为什么不把access_token放在cookie里?
...全文
1087
5
打赏
收藏
OAuth2.0协议的access_token为什么放在url中
我看了微信和阿里巴巴开放平台的文档,关于使用OAuth2.0协议进行认证授权的接口中,令牌access_token都放在url中,请问大神,这样直接放在地址栏中安全吗?不是很容易被人看到吗? 为什么不把access_token放在cookie里?
复制链接
扫一扫
分享
转发到动态
举报
AI
作业
写回复
配置赞助广告
用AI写文章
5 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
ywq198119
2019-01-02
打赏
举报
回复
1
腾讯要求以https的方式来访问接口,URL中域名之后的内容属于应用层,均被加密了,所以担心是多余的了。
rc447516551
2017-04-01
打赏
举报
回复
哦,明白了,你说的是获取用户信息,需要用户授权的回调页面是需要指定url地址了, 我说的access_token是普通access_token。 从安全性讲,放url和cookie是一样的, 那从规范或者其他利弊角度,还有其他因素吗?
X-i-n
2017-03-29
打赏
举报
回复
回调页面必须在后台配置的域名下面。另外,cookie本身也可以修改,从安全性上来讲和url是一样的。
rc447516551
2017-03-29
打赏
举报
回复
不对呀,微信设置的后台回调域名是js使用的,url地址不管在什么服务器调用都是可以的
X-i-n
2017-03-27
打赏
举报
回复
没必要。因为你需要在他们的后台配置回调域名呀,除非你能黑掉腾讯或者阿里的服务器的DNS做劫持。
使用WebView实现新浪微博
Oauth2.0
认证(android)
RT,使用WebView实现新浪微博
Oauth2.0
认证,非截取html代码获取验证码 界面跳转无副作用
微信授权登录demo源码
微信授权登录的简单demo,仅供参考了解拉取微信授权,获取微信
access
Token
的过程。
完全跨域单点登录DEMO
详情见http://blog.csdn.net/ghsau/article/details/20545513
新浪微博分享与第三方登陆
新浪微博分享功能 以及第三方登陆 的实现
Spring Security
oAuth2.0
设置
access
_
token
和refresh_
token
的有效时长
oAuth2.0
中
access
_
token
默认有效时长为12个小时,refresh_
token
默认时长为30天。在实际运用
中
需要根据需求设置有效时长。 在AuthorizationServerConfigurerAdapter,重写一个
Token
Services, @Override public void configure(AuthorizationServerEndpo...
网络协议与配置
1,744
社区成员
1,306
社区内容
发帖
与我相关
我的任务
网络协议与配置
网络协议与配置相关内容讨论专区
复制链接
扫一扫
分享
社区描述
网络协议与配置相关内容讨论专区
网络协议
网络安全
tcp/ip
技术论坛(原bbs)
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章