我正在考虑在我的网站中实现 Twitter 登录。我正在使用一个可以处理一切的库。然而,第一步:检索请求 token ,twitter strongly recommends 您在所有 OAuth 授权步骤中使用 HTTPS。
还有一个问题,Twitter 发回给您的 oauth_token 是否会在每次请求时发生变化?当 Twitter 向您发送访问 token 数组时,其值在用户下次登录时会发生变化吗?我问这个是因为我想将它们保存在数据库中。
我看到很多网站不使用 HTTPS。那么回到我的问题,在没有 https 的情况下使用 oauth 安全吗?
最佳答案
我想说不,使用常规 http 进行 OAuth 并不安全。对不使用 https 的登录进行中间人攻击相对简单。最近,许多人提示他们的 Twitter 和 Facebook 帐户被这种方法黑客入侵。许多人,比如我自己,现在使用浏览器插件强制 twitter 和 facebook 网站在可用时自动转换为 https。对于使用无线互联网的人来说,这种攻击尤其普遍。特别是在咖啡馆、酒店或机场等共享无线网络。
关于twitter - oauth(对于 twitter/或一般情况)通过 http 安全吗,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6728047/