OAuth2.0协议的access_token为什么放在url中

rc447516551 2017-03-24 08:02:36
我看了微信和阿里巴巴开放平台的文档,关于使用OAuth2.0协议进行认证授权的接口中,令牌access_token都放在url中,请问大神,这样直接放在地址栏中安全吗?不是很容易被人看到吗?
为什么不把access_token放在cookie里?
...全文
1087 5 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
5 条回复
切换为时间正序
请发表友善的回复…
发表回复
ywq198119 2019-01-02
  • 打赏
  • 举报
回复 1
腾讯要求以https的方式来访问接口,URL中域名之后的内容属于应用层,均被加密了,所以担心是多余的了。
rc447516551 2017-04-01
  • 打赏
  • 举报
回复
哦,明白了,你说的是获取用户信息,需要用户授权的回调页面是需要指定url地址了, 我说的access_token是普通access_token。 从安全性讲,放url和cookie是一样的, 那从规范或者其他利弊角度,还有其他因素吗?
X-i-n 2017-03-29
  • 打赏
  • 举报
回复
回调页面必须在后台配置的域名下面。另外,cookie本身也可以修改,从安全性上来讲和url是一样的。
rc447516551 2017-03-29
  • 打赏
  • 举报
回复
不对呀,微信设置的后台回调域名是js使用的,url地址不管在什么服务器调用都是可以的
X-i-n 2017-03-27
  • 打赏
  • 举报
回复
没必要。因为你需要在他们的后台配置回调域名呀,除非你能黑掉腾讯或者阿里的服务器的DNS做劫持。

1,744

社区成员

发帖
与我相关
我的任务
社区描述
网络协议与配置相关内容讨论专区
网络协议网络安全tcp/ip 技术论坛(原bbs)
社区管理员
  • 网络协议与配置社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧