0

假设,在 Oauth 隐式流程中,redirect uri我提供的是http://www.abc.de/de

然后 oauth2-server 将响应 a302并且location会说如下内容:

http://www.abc.de/de#access_token=blabla&token_type=bearer

然后我的浏览器将我重定向到http://www.abc.de/de没有 url 哈希部分,对吗?

url 哈希是如何添加到我的重定向 uri 中的?Outh2-server 是否只是简单地添加它然后将其设置location为该值?

我怎么知道给出的值access_token是值得信赖的?这location是http请求的一部分吗?因此,虽然 url 哈希不会发送到服务器,但该location值可能会被 MITM 攻击拦截和干预。

还是我在这里混淆了?

4

1 回答 1

0

我认为身份服务器永远不会发回这些令牌,除非将 url 添加到服务器上的受信任 url。因此,如果有人在中间创建一个页面并让人们对其进行身份验证,则永远不会取回令牌,因为客户端 url 不受信任

于 2018-08-10T16:07:58.077 回答