gpt4 book ai didi

javascript - 窃取 oAuth2 中的访问 token

转载 作者:行者123 更新时间:2023-11-28 10:05:30 28 4
gpt4 key购买 nike

如果使用客户端流,则回调 URL 包含访问 token 。那么如果回调URL是通过HTTP发送的,是不是很容易被捕获和滥用。

如果我的应用程序的用户 2 获得用户 1 的访问 token ,他就可以访问用户 1 的帐户。

此外,如果用户复制回调 URL 并将其发送给某人,他就会在不知不觉中向其他人发送对其帐户的访问权限。

我可以想出一些缓解这种情况的方法 - 使回调 URL 为 HTTPS,并在客户端脚本上从 URL 中删除访问 token 等。这就是您应该如何处理这个问题

最佳答案

客户端流程在 URL 的哈希部分 (/path?#access_token=abcdef) 中发送 oauth_token,而不是在查询部分中。接收客户端最好将其存储在 sessionStorage(或其他东西)中,最后使用 window.location.hash = ''; 将其删除来自 URL。

关于javascript - 窃取 oAuth2 中的访问 token ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8466500/

28 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com