问题标签 [implicit-flow]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
oauth-2.0 - PKCE:当然,黑客仍然可以窃取访问令牌?
据我了解,授权代码流相对于隐式流的优势在于,使用 ACF,访问令牌被发送到服务器端应用程序而不是浏览器应用程序。这使得访问令牌更难窃取,因为访问令牌永远不会到达浏览器(因此不易受到跨站点脚本攻击)。
我原以为PKCE会尝试解决这个问题。但事实并非如此。访问令牌仍会发送到浏览器。因此它仍然可以被盗。
我在这里缺少什么吗?非常感谢。
oauth-2.0 - OIDC:代码流和隐式流中的url差异
我是新手OIDC。我指的是要在我的应用程序 中使用的视频。OIDC
查看代码流(响应类型:代码)和隐式流(响应类型:Id_token)的 URL,我注意到一些奇怪的东西,在重定向 URL code中提供为query parameter(后跟?)但id_token后跟#. 同样的事情也发生在我的应用程序中。为什么id_token也不作为query parameter. 我用谷歌搜索但没有找到任何答案。
代码流网址:
隐式流网址:
(视频参考:39:03 , 53:35)