- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
Web 应用程序中的 OAuth 2.0 使用重定向 URI 工作,其中身份验证提供程序重定向到重定向 URI 并验证与开发人员在应用程序注册期间提供的注册相同,然后再使用访问 token 进行重定向。
如果是移动应用程序,由于没有指向移动应用程序的重定向 URI,它是如何工作的?
如果有人获得客户端 ID,他们可以使用相同的方式构建重复的应用程序吗?在上述情况下,安全性如何工作?
最佳答案
因为移动应用程序无法保证client_secret
的 secret 性。他们可以使用不需要的授权类型。这是 Implicit Grant
.这个想法是使用 response_type=token
将移动浏览器重定向到授权端点。范围:
https://example.com/authorize?response_type=token&client_id=CLIENT_ID&redirect_uri=http://REDIRECT_URI
根据身份提供者对用户进行身份验证后,浏览器将被重定向回
redirect_uri
在授权请求中指定并传递访问 token :
http://REDIRECT_URI/#token=ACCESS_TOKEN
然后,您可以在浏览器中拦截对这个特制 url 的请求(通过订阅在 url 更改时触发的相应事件),提取传递的访问 token 并使用此 token 发出经过身份验证的请求。
If someone gets client id, Can they use same to build duplicate app ?How does security works in above scenario?
client_secret
应用程序不能使用需要它的授权类型,并且通常会为颁发的访问 token 提供更多权限和范围。
关于redirect - OAuth2.0 安全性如何在移动应用程序中发挥作用?如果 client_id 被泄露会发生什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33845742/
今天有小伙伴给我留言问到,try{...}catch(){...}是什么意思?它用来干什么? 简单的说 他们是用来捕获异常的 下面我们通过一个例子来详细讲解下
我正在努力提高网站的可访问性,但我不知道如何在页脚中标记社交媒体链接列表。这些链接指向我在 facecook、twitter 等上的帐户。我不想用 role="navigation" 标记这些链接,因
说现在是 6 点,我有一个 Timer 并在 10 点安排了一个 TimerTask。之后,System DateTime 被其他服务(例如 ntp)调整为 9 点钟。我仍然希望我的 TimerTas
就目前而言,这个问题不适合我们的问答形式。我们希望答案得到事实、引用资料或专业知识的支持,但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visit the
我就废话不多说了,大家还是直接看代码吧~ ? 1
Maven系列1 1.什么是Maven? Maven是一个项目管理工具,它包含了一个对象模型。一组标准集合,一个依赖管理系统。和用来运行定义在生命周期阶段中插件目标和逻辑。 核心功能 Mav
我是一名优秀的程序员,十分优秀!