我们有一个生成令牌的身份验证服务器。我们了解到,使用令牌,当您发出 HTTP 请求时,您必须在 HTTP 标头中传递 Authentication Bearer: xxxxx。
现在我的问题是用户是否可以使用令牌创建附件并向发件人发送电子邮件,然后发件人从附件中提取令牌并针对身份验证服务器对其进行验证?
感谢您的时间和帮助,
问问题
40 次
1 回答
0
从技术上讲,这是可能的,但如果没有任何额外的测量,它是不安全的,并且会违反规范https://www.rfc-editor.org/rfc/rfc6749#section-10.3,说:
访问令牌凭证(以及任何机密访问令牌属性)必须在传输和存储过程中保持机密,并且仅在授权服务器、访问令牌对其有效的资源服务器以及向其颁发访问令牌的客户端之间共享.
由于电子邮件通过未受保护的渠道,您将不得不应用一些机密性和完整性机制(例如加密电子邮件/附件)以安全的方式利用这一点。
于 2015-01-26T07:42:22.913 回答