【发布时间】:2013-06-29 13:00:35
【问题描述】:
我们的用户只能使用 Facebook Oauth2.0 来注册和连接我们在谷歌应用引擎上的服务。
在这种情况下,是否有必要通过 https 保护连接?秘密令牌是否仍有被中间人攻击的危险?或者我们可以这样吗?
如果使用用户名/密码来保护网络上的普通密码,通常必须使用 https。不太确定 oauth 2.0。
谢谢,
【问题讨论】:
标签: facebook google-app-engine oauth-2.0
【发布时间】:2013-06-29 13:00:35
【问题描述】:
是的,这是必要的。安全令牌与用户名/密码一样是一种凭证。如果有人嗅出它,只要令牌有效,他们就可以劫持用户会话。
【讨论】: