【发布时间】:2018-08-03 17:08:24
【问题描述】:
我对混合流程有些困惑。
在这种情况下,假设我们有一个需要对用户进行身份验证的本机桌面应用程序。对于这种情况,我们使用推荐的混合流。
据我了解,我们将使用嵌入式 Web 浏览器将用户引导至身份服务器的登录页面。用户登录成功,服务器将 Web 浏览器重定向到注册的重定向 url。桌面应用程序会收到此重定向的通知(类似于 OnLoadFinished 事件)并解析包含一些信息(包括授权代码)的新 url。然后桌面应用程序将此授权代码交换为访问令牌/刷新令牌。
考虑到这个过程,如果恶意用户知道重定向 url 和客户端 ID 是什么(假设这个用户是前雇员),他们是否完全有可能创建一个非常相似的应用程序,比如我们的桌面应用程序来诱骗用户使用该恶意应用程序?由于他们知道重定向 url 和客户端 ID,因此他们可以模拟上述过程并获取访问/刷新令牌。
我的理解是正确的还是我遗漏了什么?
【问题讨论】: