OAuth2 是否通过 http 标头验证请求域?

【问题标题】:Does OAuth2 verify the request domain via http headers?OAuth2 是否通过 http 标头验证请求域?
【发布时间】:2014-09-27 16:06:22
【问题描述】:

我目前正在学习 OAuth2,但我对其中的一部分感到有些困惑。 OAuth2服务器是否将JWT中的域与请求头中的域进行比较?

是什么阻止了某人从 JS 应用程序中提取不记名令牌,然后使用它来发出欺诈性 API 请求?即使使用了 HTTPS,从 OAuth2 发回的令牌仍然必须存储,然后才能在后续请求中使用,从而使其易受攻击。我错过了什么?

编辑:如果我从非浏览器客户端创建 oauth2 令牌并且没有匹配的域名怎么办?

【问题讨论】:

    标签: php oauth-2.0 jwt


    【解决方案1】:

    没有什么可以阻止它被使用。这就是为什么要安全地存放它,或者根本不存放它的原因。

    【讨论】:

    • 这不是真的。根据我目前所学到的,您可以存储令牌并使其在一次使用后过期,限制它可以访问的资源,或者可能验证客户端的 IP。无法在 js 应用程序中保护不记名令牌。但要回答我自己的问题,不,OAuth 不会检查那些请求不记名令牌的域。
    • 是的,所有这些都是可能的。到期是限制风险的一种方式。但是,虽然有效,但如果您只检查 exp,则可以重复使用令牌。我还没有看到 JWT 的一次性使用(与 authz_code 流的代码为例)。 IP 检查是特定于应用的验证,不是 OAuth 的一部分。
    猜你喜欢
    • 2012-01-11
    • 2016-06-03
    • 2021-12-24
    • 2011-07-03
    • 1970-01-01
    • 2017-05-08
    • 2021-06-10
    • 2016-06-24
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode