我的 REST 服务使用 OAuth 2.0 身份验证。我想使用浏览器(不使用客户端)测试一些 GET URL。我可以在 URL 中传递不记名令牌吗?网址:www.example.com/employee/employeeId
问问题
3595 次
2 回答
3
access_token您可以在查询参数中传递它,请参阅https://www.rfc-editor.org/rfc/rfc6750#section-2.3,但如另一个答案中所述,它不是传递令牌的首选方式。它可能最终出现在日志、浏览器缓存等中。关于这种方法,规范说:
由于与 URI 方法相关的安全漏洞
(参见第 5 节),包括包含访问令牌的 URL 很可能会被记录, 除非不可能在 “授权”中传输访问令牌,否则
不应使用它请求头字段或 HTTP 请求实体主体。资源服务器可以支持这种方法。包含此方法以记录当前使用情况;不
推荐使用它,因为它存在安全缺陷(参见第 5 节),
还因为它使用保留的查询参数名称,这
与 URI 命名空间最佳实践背道而驰,根据“
万维网架构,第一卷”[W3C .REC-webarch-20041215]。
因此,您还应该知道,资源服务器(或 API)甚至可能不支持这种令牌传递方法。唯一必须实现的方法是 Authorization 标头方法。
于 2015-04-28T17:58:21.343 回答
0
你当然可以。
Ses facebook 图形API。但请注意,不建议这样做,因为用户可能会将这些 url 作为电子邮件或消息发送。Oauth 2.0 规范对此进行了描述。
于 2015-04-28T17:32:13.803 回答