4

我正在尝试按照以下说明调用 Google 的 OAuth2 身份验证服务:https ://developers.google.com/accounts/docs/OAuth2ForDevices

我将所有必需的参数放入查询字符串并发送请求。这适用于“获取用户代码”部分,但不适用于“获取访问和刷新令牌”部分。

在玩了很多游戏并收到 400 Bad Request 错误之后,我发现,您可以使用 FormUrlEncodedContent 创建一个请求,并使用 application\x-www-form-urlencoded 将数据作为内容发送,而不是将数据放入查询字符串中内容类型。

这是之前的代码:

var requestMessage = new HttpRequestMessage();
requestMessage.Method = "POST";
requestMessage.RequestUri = new Uri(fullUrl);

fullUrl 类似于:

https://accounts.google.com/o/oauth2/device/code?client_id=812741506391-h38jh0j4fv0ce1krdkiq0hfvt6n5amrf.apps.googleusercontent.com&scope=https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fuserinfo.email%20https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fuserinfo.profile

新代码是:

var requestMessage = new HttpRequestMessage();
requestMessage.Method = "POST";
requestMessage.RequestUri = new Uri(url);
requestMessage.Content = new FormUrlEncodedContent(CreateDictionary(queryStringNames, queryStringValues));

网址在哪里:

https://accounts.google.com/o/oauth2/device/code

queryStringNames 和 queryStringValues 是所需参数的名称和值的字符串数组。

这两种方法有什么区别?假设所有 POST 调用都可以使用 URL 编码内容请求而不是将数据放入查询字符串中,这是否安全?

4

1 回答 1

8

一般来说,POST 请求不需要查询字符串,但仍然受制于 Server 的逻辑实现。如果 OAuth 是众所周知的标准并且它们确实遵循良好的做法,则使用表单编码数据是安全的,除非在 API 中明确提及将参数作为查询字符串发送。

查询字符串和发布数据是两组不同的参数。如果服务器需要查询字符串,那么您必须只发送查询字符串。这完全取决于服务器端逻辑的实现方式。您不能交替使用它们。大多数 API 文档都清楚地说明了他们的期望。

于 2013-10-06T06:46:01.617 回答