oAuth2.0 ошибка доступа к токену

Я следую этому руководству по OAuth2.0 https://developers.google.com/youtube/v3/guides/authentication

Понятно, как работает OAuth2.0. Но у меня есть немного путаницы в части токена доступа.

Получив токен доступа для пользователя, ваше приложение может использовать этот токен для отправки авторизированных запросов API от имени этого пользователя. API поддерживает два способа указания токена доступа: укажите токен доступа как значение параметра запроса access_token:

www.googleapis.com/youtube/v3/videos?access_token=ACCESS_TOKEN

если кто-то приобрел этот токен доступа во время передачи URL-адреса, он может получить доступ к этому защищенному ресурсу?

Как сервер знает, поступает ли запрос от клиента, изначально запросил токен доступа?

UPDATE: после прочтения этого сообщения Зашифрованы заголовки HTTPS? моя путаница очищается. Я думал, что строка запроса не шифруется во время передачи в сети.

+2
источник поделиться
2 ответа

В целом, я думаю, что консенсус в том, что OAuth 2.0 является технологией на стороне сервера, и все токены доступа и связь должны передаваться с использованием SSL, поскольку токены-носители должны храниться как можно безопаснее.

+1
источник

Кроме того, вам нужно знать, что в OAuth 2.0 есть 2 типа потоков
i) Неявный поток грантов - это поток, в котором пользователь входит в систему для поставщика услуг, а его браузер получает токен доступа. Скажем, у вас есть X.com и войдите через Facebook. Как только пользователь вводит ключи в своих учетных данных FB, токен доступа отправляется в его браузер.

ii) Поток кода авторизации. В этом потоке (рассмотрите вышеописанную ситуацию), facebook передаст код авторизации в браузер пользователя. Если кто-то каким-то образом перехватывает код авторизации, он ничего не может сделать. Код авторизации можно обменять на доступ при передаче с действительными учетными данными клиента. Таким образом, когда пользователь входит в систему, его браузер получает код авторизации, который передается на ваш сервер на X.com. оттуда вы нажмете конечную точку обмена токенами кода, предоставленную FB, и получите токен доступа, возвращенный на ваш сервер!

Кодирование кода авторизации добавляет еще один уровень безопасности, где токен доступа видим только для клиента + сервера, а не для агента пользователя. И, как вы поняли, токен передается через HTTPS.

0
источник

Посмотрите другие вопросы по метке или Задайте вопрос