个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我想知道为什么 OAuth2 规范没有定义 JSON 响应模式来在隐式授权流中返回访问 token 。
是因为没有时间就这一点达成一致并对其进行规范吗?或者以 JSON 格式返回访问 token 是否会打开某些安全漏洞?如果是这样,知道哪个会很有趣(我怀疑可以通过验证请求的 ContentType 或 RequestedWith header 来缓解将 JSON 返回到恶意脚本标签中的问题)。
有很多现代 javascript 应用程序需要刷新访问 token 。当 protected 资源的权限经常更改时(例如,当某些用户向其他用户授予他们拥有的资源的权限时),通常需要这样做。在这种情况下,每次访问 protected 资源时都需要获取访问 token 。
目前 OAuth2 规范提供了 2 种响应模式:片段和表单发布(在草稿中)。
片段响应需要对用户不友好的重定向。也可以将带有 GET 方法的表单发布到隐藏的 iframe 中,该 iframe 会回调将访问 token 传递给父窗口的 javascript 代码。但从开发的 Angular 来看,这是一种相当黑客的方法。
考虑到它不会危及安全性,通过 AJAX 请求以 JSON 格式返回访问 token 会更清晰。
最佳答案
重定向对于确保将访问 token 传递给 RP 而不是在隐式流中传递给攻击者至关重要。
如果 Stack Overflow 有一个带有 OAuth2 隐式授权的 REST API 以某种 JSON 格式返回 token ,那么我所要做的就是欺骗你去我的一个网页,然后假装是官方 Stack Overflow 客户端请求一个访问 token 与您的 session (因为您可能已登录)。
SO 服务器会(通过 CORS)使用您的访问 token 向我返回一些 JSON,然后我可以冒充您,而您将一无所获。
现在考虑到您无论如何都必须进行重定向,您可以在 JSON token 中添加参数并将其添加到查询参数中。
但是,如果您已经必须进行查询/片段解析,您也可以从查询/片段中获取参数,而不是强制客户端进行 JSON 解析。
关于javascript - 为什么 OAuth2 规范没有为隐式流定义 JSON 响应模式?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23793724/
25
4
0
这个问题在这里已经有了答案: Why filter() after flatMap() is "not completely" lazy in Java streams? (8 个答案) 关闭 6
我正在创建一个应用程序来从 Instagram 收集数据。我正在寻找像 Twitter 流 API 这样的流 API,这样我就可以自动实时收集数据而无需发送请求。 Instagram 有类似的 API
我正在使用 Apache Commons 在 Google App Engine 中上传一个 .docx 文件,如此链接中所述 File upload servlet .上传时,我还想使用 Apach
我尝试使用 DynamoDB 流和 AWS 提供的 Java DynamoDB 流 Kinesis 适配器捕获 DynamoDB 表更改。我正在 Scala 应用程序中使用 AWS Java 开发工具
我目前有一个采用 H.264 编码的 IP 摄像机流式视频 (RTSP)。 我想使用 FFmpeg 将此 H.264 编码流转换为另一个 RTSP 流,但 MPEG-2 编码。我该怎么做?我应该使用哪
Redis 流是否受益于集群模式?假设您有 10 个流,它们是分布在整个集群中还是都分布在同一节点上?我计划使用 Redis 流来实现真正的高吞吐量(200 万条消息/秒),所以我担心这种规模的 Re
这件事困扰了我一段时间。 所以我有一个 Product 类,它有一个 Image 列表(该列表可能为空)。 我想做 product.getImages().stream().filter(...) 但
是否可以使用 具有持久存储的 Redis 流 还是流仅限于内存数据? 我知道可以将 Redis 与核心数据结构的持久存储一起使用,但我已经能够理解是否也可以使用 Redis 中的流的持久存储。 最佳答
我开始学习 Elixir 并遇到了一个我无法轻松解决的挑战。 我正在尝试创建一个函数,该函数接受一个 Enumerable.t 并返回另一个 Enumerable.t ,其中包含下 n 个项目。它与
我试图从 readLine 调用创建一个无限的字符串流: import java.io.{BufferedReader, InputStreamReader} val in = new Buffere
你能帮我使用 Java 8 流 API 编写以下代码吗? SuperUser superUser = db.getSuperUser; for (final Client client : super
我正在尝试服用补品routeguide tutorial,并将客户端变成rocket服务器。我只是接受响应并将gRPC转换为字符串。 service RouteGuide { rpc GetF
流程代码可以是run here. 使用 flow,我有一个函数,它接受一个键值对对象并获取它的值 - 它获取的值应该是字符串、数字或 bool 值。 type ValueType = string
如果我有一个函数返回一个包含数据库信息的对象或一个空对象,如下所示: getThingFromDB: async function(id:string):Promise{ const from
我正在尝试使用javascript api和FB.ui将ogg音频文件发布到流中, 但是我不知道该怎么做。 这是我给FB.ui的电话: FB.ui( { method: '
我正在尝试删除工作区(或克隆它以使其看起来像父工作区,但我似乎两者都做不到)。但是,当我尝试时,我收到此消息:无法删除工作区 test_workspace,因为它有一个非空的默认组。 据我所知,这意味
可以使用 Stream|Map 来完成此操作,这样我就不需要将结果放入外部 HashMap 中,而是使用 .collect(Collectors.toMap(...)); 收集结果? Map rep
当我们从集合列表中获取 Stream 时,幕后到底发生了什么?我发现很多博客都说Stream不存储任何数据。如果这是真的,请考虑代码片段: List list = new ArrayList(); l
我对流及其工作方式不熟悉,我正在尝试获取列表中添加的特定对象的出现次数。 我找到了一种使用Collections来做到这一点的方法。其过程如下: for (int i = 0; i p.conten
我希望将一个 map 列表转换为另一个分组的 map 列表。 所以我有以下 map 列表 - List [{ "accId":"1", "accName":"TestAcc1", "accNumber
我是一名优秀的程序员,十分优秀!