在电子邮件附件中传递 Oauth 令牌

Passing Oauth token in email attachment

我们有一个生成令牌的身份验证服务器。 我们了解到,有了令牌,当您发出 HTTP 请求时,您必须在 HTTP header 中传递 Authentication Bearer: xxxxx。

现在我的问题是用户是否可以使用令牌创建附件并向发件人发送电子邮件,然后发件人从附件中提取令牌并针对身份验证服务器对其进行验证?

感谢您的宝贵时间和帮助,

从技术上讲这是可能的,但如果没有任何额外的测量,它是不安全的并且会违反规范 https://www.rfc-editor.org/rfc/rfc6749#section-10.3,说:

Access token credentials (as well as any confidential access token attributes) MUST be kept confidential in transit and storage, and only shared among the authorization server, the resource servers the access token is valid for, and the client to whom the access token is issued.

由于电子邮件通过不受保护的渠道,您必须应用一些机密性和完整性机制(例如加密 e-mail/attachment)以安全地利用它。