我正在关注本关于 OAuth2.0 的教程 https://developers.google.com/youtube/v3/guides/authentication
看起来很清楚 OAuth2.0 的工作原理。但是我对访问令牌部分有点困惑。
在为用户获取访问令牌后,您的应用程序可以使用该令牌代表该用户提交授权的 API 请求。API 支持两种指定访问令牌的方式: 将访问令牌指定为 access_token 查询参数的值:
www.googleapis.com/youtube/v3/videos?access_token=ACCESS_TOKEN
如果有人在 url 传输过程中获得了这个访问令牌,他们可以访问这个受保护的资源吗?
服务器如何知道请求是否来自最初请求访问令牌的客户端?
更新: 阅读这篇文章后HTTPS 标头是否已加密?我的困惑被清除了。我认为查询字符串在网络传输过程中没有加密。