Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
据我了解,oauth2 不会对请求进行签名,而是依赖于传输层的安全性(通过 https)。这似乎容易受到重放攻击和证书未验证的 ssl 代理攻击(这在客户端应用程序中似乎很常见)。
从这个意义上说,它似乎不像 HMAC-sha256 或类似的东西那样安全。这对某些应用程序来说可能很好,但对于移动大量资金的应用程序来说,这似乎不够安全。我理解正确吗?
我不得不同意你的看法。在大多数情况下,如果您的用户进行需要更高级别审查的活动(即付款),那么您希望有更多的安全性,甚至是一些额外的确认,即确实是正确的用户做活动。OAuth 并没有真正提供额外的安全层,我真的不推荐它用于支付活动。