Outh2.0 access_tokens 会受到损害吗?
Can Outh2.0 access_tokens be compromised?
我正在学习更多关于 Oauth2 概念的知识,并且对使用 Spring Oauth2 模块非常感兴趣。在了解访问令牌时,我有点迷茫。我们如何防止 access_tokens 被泄露?我知道整个令牌交换是使用 HTTPS 进行的,但是当客户端可以使用 HTTP 访问资源时。此外,access_token 可能是短暂的,但它确实有一个 window 可以被破坏的地方。我的理解正确吗?
如何预防?我看到有人提到 token_secret 可以与 access_token 一起传递,但我不确定 Spring 的 OAuth 2 实现是否使用它。
如果我走错了路,请指正。谢谢
你是对的。访问令牌可能会受到多种威胁的破坏(请参阅 RFC6819 了解某些威胁模型)。
但是一些规范(或正在进行的规范)增加了防止访问令牌被泄露或帮助您限制被盗的不良影响的方法。
- 撤销访问令牌:RFC7009
- 将令牌绑定到 SSL 连接:OAuth 2.0 Token Binding
- A Method for Signing HTTP Requests for OAuth
- PoP access token type and RFC7800
我正在学习更多关于 Oauth2 概念的知识,并且对使用 Spring Oauth2 模块非常感兴趣。在了解访问令牌时,我有点迷茫。我们如何防止 access_tokens 被泄露?我知道整个令牌交换是使用 HTTPS 进行的,但是当客户端可以使用 HTTP 访问资源时。此外,access_token 可能是短暂的,但它确实有一个 window 可以被破坏的地方。我的理解正确吗?
如何预防?我看到有人提到 token_secret 可以与 access_token 一起传递,但我不确定 Spring 的 OAuth 2 实现是否使用它。
如果我走错了路,请指正。谢谢
你是对的。访问令牌可能会受到多种威胁的破坏(请参阅 RFC6819 了解某些威胁模型)。
但是一些规范(或正在进行的规范)增加了防止访问令牌被泄露或帮助您限制被盗的不良影响的方法。
- 撤销访问令牌:RFC7009
- 将令牌绑定到 SSL 连接:OAuth 2.0 Token Binding
- A Method for Signing HTTP Requests for OAuth
- PoP access token type and RFC7800