我想知道为什么 OAuth2 规范没有定义 JSON 响应模式来在隐式授权流中返回访问 token 。
是因为没有时间就这一点达成一致并对其进行规范吗?或者以 JSON 格式返回访问 token 是否会打开某些安全漏洞?如果是这样,知道哪个会很有趣(我怀疑可以通过验证请求的 ContentType 或 RequestedWith header 来缓解将 JSON 返回到恶意脚本标签中的问题)。
有很多现代 javascript 应用程序需要刷新访问 token 。当 protected 资源的权限经常更改时(例如,当某些用户向其他用户授予他们拥有的资源的权限时),通常需要这样做。在这种情况下,每次访问 protected 资源时都需要获取访问 token 。
目前 OAuth2 规范提供了 2 种响应模式:片段和表单发布(在草稿中)。
片段响应需要对用户不友好的重定向。也可以将带有 GET 方法的表单发布到隐藏的 iframe 中,该 iframe 会回调将访问 token 传递给父窗口的 javascript 代码。但从开发的 Angular 来看,这是一种相当黑客的方法。
考虑到它不会危及安全性,通过 AJAX 请求以 JSON 格式返回访问 token 会更清晰。
最佳答案
重定向对于确保将访问 token 传递给 RP 而不是在隐式流中传递给攻击者至关重要。
如果 Stack Overflow 有一个带有 OAuth2 隐式授权的 REST API 以某种 JSON 格式返回 token ,那么我所要做的就是欺骗你去我的一个网页,然后假装是官方 Stack Overflow 客户端请求一个访问 token 与您的 session (因为您可能已登录)。
SO 服务器会(通过 CORS)使用您的访问 token 向我返回一些 JSON,然后我可以冒充您,而您将一无所获。
现在考虑到您无论如何都必须进行重定向,您可以在 JSON token 中添加参数并将其添加到查询参数中。
但是,如果您已经必须进行查询/片段解析,您也可以从查询/片段中获取参数,而不是强制客户端进行 JSON 解析。
关于javascript - 为什么 OAuth2 规范没有为隐式流定义 JSON 响应模式?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23793724/