极客观点
项目管理
HarmonyOS
当自己的前端授权完之后,授权服务会跳转回第三方前端,url是 https:xxx?code=xxx;
然后自己的前端拿code去请求自己的登录接口,自己的服务在和授权服务校验,并且登陆;
假如我是攻击者,我是可以拦截得到code的,也可以知道code请求登陆的接口,那其实就可以抓取code去请求一次登录接口了,从而获取用户信息了;
因为code只能用一次,我还可以把用户的请求给拦截调,让我抓取code的请求成功
那这样且不是很不安全??
你这个问题的前提是,你还通过啥渠道,拿到了人家的app-secret ,不然你拿到了code,去换token这一步,你的请求签名是过不了的,签名算法中需要app-secret参与,没有app-secret,你就算是拿到了token都没用
OAuth2 一个应用层之上的玩意儿,为啥要考虑应用层甚至传输层的安全问题?
上层的任何保护手段都防范不了下层的安全漏洞,学过 OSI 五层/七层模型的话这个问题就不应该提问。
毕竟到了会话层你可以劫持会话、数据链路层你还可以劫持比特流,你咋防 code 都能泄露,你说 OAuth2 咋去解决?
但是凭啥要 OAuth2 解决?
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
js 如何将Key属性相同的放在同一个数组?
{代码...} 说明:id和name是动态的,有可能后台返回的是age和school,不是固定id和name想要的结果是; {代码...}10 回答11.3k 阅读
vue项目如何在初始化之前跳转外部页面?
vue项目内有一个分享功能,但是这个分享出去的页面打开会非常慢,所以就想到了单独写了一套H5页面专门用于手机端打开,然后在这个vue项目的分享页面初始化函数里面加一个判断终端是否为移动端,如果是就再做一次跳转,到这个单独的H5页面上去,这样就不会去加载vue框架,打开速度会更快。以上是初始方案和预期。5 回答4.9k 阅读✓ 已解决
js如何控制移动端overflow:scroll容器滑动的最大速度?
{代码...} demo在这:[链接]在移动端滑动一下这个.box区域,稍微一用力就到头了,如果我想用js去控制他滑动的最大速度该怎么去处理?4 回答3.2k 阅读✓ 已解决
前端代码更新如何通知用户刷新页面?
前端代码更新如何通知用户刷新页面?2 回答2.8k 阅读✓ 已解决
纯css如何绘制一个无背景色有边框色,带有文字的倒等腰梯形?
纯css绘制倒过来的等腰梯形的样式。而且可以把梯形的背景色调整为无色。可以接受复杂代码(比如布局复杂,单个div单个css样式是无法完成,需要多个div搭配多个样式),但是至少满足以下要求(1)可以调整边框的颜色大小粗细等,(2)可以调整边框内外阴影(3)梯形里面还能放文字3 回答5.2k 阅读✓ 已解决
Qt中布局是否只有5种呢?
我们经常看到的Qt的布局有:5种(都是继承自QLayout) {代码...} 但是我在官方文档有看到其他的Layout相关命名,例如:QPageLayoutQTextLayout等等请问这些是用于布局的吗?还是说Qt中布局就只有5种呢?4 回答4.5k 阅读✓ 已解决
字节的 trae AI IDE 不支持类似 vscode 的 ssh remote 远程开发怎么办?
尝试一下字节的 trae AI IDE ([链接])安装后导入 vscode 的配置,好像一起把 vscode 的插件也导入了也能看到 vscode 之前配置的 ssh remote 但是连不上看到「输出」如下⬇️ {代码...}1 回答3.4k 阅读✓ 已解决
所以要上 https 嘛!
Https 的流量是经过加密的,攻击者想要拦截到 url 里的 code ,首先要攻破 Https 的加密层。所以也就是说你需要做到 Https 中间人攻击喽。
而浏览器是会检查服务器的证书的,所以说攻击者需要事先把他的根证书装到受害者的电脑。
OAuth 不用去考虑 http 协议本身的安全,因为它是 Https 要考虑的事。