如何安全地从 Marketo 获取访问令牌
How to securely get access token from Marketo
Marketo Rest API 公开了对 oauth/token uri 的 GET 调用,这将 clientId 和 clientSecret 参数公开给两个网络之间的所有互联网跃点。我是不是遗漏了什么或者有什么方法可以安全地获取访问令牌?
Marketo 也有一个用于此端点的 POST 方法,您可以在其中将 clientId 和 clientSecret 作为 x-www-form-urlencoded POST 参数发送
curl -X POST -H "Cache-Control: no-cache" -H "Content-Type: application/x-www-form-urlencoded" -d 'client_id=MY_CLIENT_ID&client_secret=MY_CLIENT_SECRET&grant_type=client_credentials' "https://MY_MARKETO_URL/identity/oauth/token"
我实际上弄错了事实,基本上这个 get 调用是 https,一旦它与服务器建立安全连接,查询参数将通过网络加密发送。我发现的唯一警告是,如果服务器管理员浏览了低风险的服务器文件系统,则服务器管理员可以以明文形式读取凭据。
Marketo Rest API 公开了对 oauth/token uri 的 GET 调用,这将 clientId 和 clientSecret 参数公开给两个网络之间的所有互联网跃点。我是不是遗漏了什么或者有什么方法可以安全地获取访问令牌?
Marketo 也有一个用于此端点的 POST 方法,您可以在其中将 clientId 和 clientSecret 作为 x-www-form-urlencoded POST 参数发送
curl -X POST -H "Cache-Control: no-cache" -H "Content-Type: application/x-www-form-urlencoded" -d 'client_id=MY_CLIENT_ID&client_secret=MY_CLIENT_SECRET&grant_type=client_credentials' "https://MY_MARKETO_URL/identity/oauth/token"
我实际上弄错了事实,基本上这个 get 调用是 https,一旦它与服务器建立安全连接,查询参数将通过网络加密发送。我发现的唯一警告是,如果服务器管理员浏览了低风险的服务器文件系统,则服务器管理员可以以明文形式读取凭据。