我们的 OAuth2 实现存在安全漏洞答案

【问题标题】：Our OAuth2 implemention has security flaws我们的 OAuth2 实现存在安全漏洞
【发布时间】：2015-08-19 14:37:24
【问题描述】：

我以只有读取权限的 Scott 身份登录。 oauth2 服务器（基于 JAVA）给了我一个令牌。然后我让我的队友把他未过期的令牌寄给我。我更新了我的 Angular 应用程序并硬编码了给我的令牌。我尝试对 api 进行更改，并且能够进行一些更改。

后端 api 如何防止这种情况发生？

【问题讨论】：

【解决方案1】：

您已成功实现session hijack。发生这种情况是因为会话基于存储在网页或 cookie 中的令牌，而不是 IP 地址或其他东西。这是有道理的，因为 IP 地址可以被欺骗，而加密安全的会话令牌实际上是不可能被欺骗的。

虽然您可以添加策略来使这变得更加困难（例如：某种硬件令牌，用于对每条消息进行加密签名），但您为什么觉得需要这样做？除了最安全的网站之外，所有网站都依赖这种机制。

【讨论】：

谢谢尼尔·史密斯林。只是想知道为什么这个帖子被否决了。是因为没有密码吗？
根据对您问题的评论，我认为人们投了反对票，因为他们认为它有一个明显的答案。也许如果您提出“我对我们的 OAUTH2 实现的安全性感到困惑”的问题，它会被更好地接受？不能确定。
哦。 security.stackechange.com 本来是这个问题的另一种选择，尽管我不认为 stackoverflow 是一个糟糕的选择。
知道了。我没有意识到这一点。谢谢！