这是一个创建于 4092 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近在研究这个协议。为何我觉得不安全呢。
只需要截获每次请求与redirect的数据包,就可以看到数据了。
最后的access_token也可以看到。
有没有安全专家谈谈?
只需要截获每次请求与redirect的数据包,就可以看到数据了。
最后的access_token也可以看到。
有没有安全专家谈谈?
 |
1
alexrezit 2013-09-02 12:34:40 +08:00
呃... 所以有了 OAuth 2?
|
 |
2
favormm OP @alexrezit OAuth2还没仔细研究,不过觉得只要是http通信的,都能通过截获数据包来搞破坏呢。
oauth2其实也是客户端与service provider通信的,最终客户端获取一个可以操作service provider的access_token. 只要截获它,就没有安全可言了呀。 |
 |
4
justfindu 2013-09-02 12:46:00 +08:00
应该这么问~ 在web上信息安全么~
|
 |
6
justan 2013-09-02 13:04:34 +08:00
OAuth1 协议中有加密部分.
OAuth2 的加密依赖 https. |
 |
7
SoloCompany 2013-09-02 14:05:29 +08:00
没看明白,接在协议中传递 access token 不是很正常么?又不是要让你传递 token secret,你更应该担心的是 app 被反编译拿到 app secret 吧,而且app也只有 app secret,token secret 仍然是你自己所掌握着,但你的手机都丢了的话另计了
|
Select Language