我有一台服务器,正在connect with Facebook
使用API v2.2测试该服务器,当用户单击该按钮并允许我的应用程序时,他得到了身份验证,并重定向回我的网站,http://example.com/?#access_token=<REDACTED>
很好,所以REDACTED部分是access_token
授权用户的。
现在,我在考虑另一种观点,即任何攻击者都有可能抓住access_token
他的网站/代表其他用户吗?请注意,我http://example.com
在Facebook开发人员redirect_uri
中将我的域列入了白名单,因此无法访问另一个网站,并且我的网站上有一个1-2页的页面,因此显然没有URL-重定向到那里...所以,发生任何严重的事情的方法是什么?
是的。攻击者有可能代表用户(资源所有者)获取access_token并请求访问。假设在令牌交换发生之前基本的安全措施已经到位。
如:
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句