您好,我将从使用 google 客户端流程切换到使用 混合服务器端流程,因为在向客户端发送 access_token 之前,我将其发送到服务器,然后在登录用户或为他们创建新帐户之前验证用户,但因为我无法让 cors 工作使用 https,我无法安全地发送它。
我查看了不同的方式,看来混合服务器端流程是我一直想要的,我唯一的问题是,使用 http 通过 http 发送一次性授权代码是否安全 Ajax ?
我认为这是因为它只能使用一次,一旦服务器使用它(使用curl通过https),它就不再具有任何值(value)了。这样,access_token 就只会出现在服务器上,而不会出现在客户端上,这看起来比使用客户端流程的旧方法安全得多。
最佳答案
简短的回答是:绝对不是
较长的答案取决于风险级别以及您愿意接受的风险,但总的来说这似乎是一个坏主意。它假设客户端和服务器之间的连接被拦截或操纵的可能性很低,或者受 oauth 保护的信息值(value)极低,没有人会尝试。这些看起来都不安全。
例如,纯粹是即兴的,客户端和服务器之间的恶意路由器拦截请求(如果它知道请求的可能性)并首先使用客户端代码本身并不困难。这可能会在您的服务器和客户端上导致各种问题,这些问题可能需要一段时间才能解决......在此期间,盗贼可以访问任何被授权的服务。还有其他与此类似的场景,也可能同样存在问题。更好的问题是 - 你为什么要这样做?您是否有理由不愿意设置 SSL 服务器,即使是具有自签名证书的服务器?
关于javascript - 通过 HTTP 发送 Google+ 混合服务器端流程一次性授权代码 安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26264244/