OAuth的accessToken是通过什么传输的

问题描述

OAuth的accessToken是通过什么传输的

最近在看OAuth协议,遇到一个问题就是,书上解释为什么在Request Token URL之后没有直接返回accessToken的原因有两个,一个是可以多加一次对请求方的身份认证,第二个是因为服务器端的redirect_uri是不安全的,要传输code这种不敏感信息

我的问题是,加了code之后,服务器端的确会多加一次认证,但是认证之后,accessToken是否还是通过redirect_uri返回给请求方的……如果是,那redirect_uri还是不安全的啊,如果不是,那这个token是怎么返回去的呢?

解决方案

这张图片足以说明这个问题

解决方案二:

这张图片足以说明这个问题

解决方案三:

哦哦,我好像有点明白了,返回的Access Token是在URI Fragment中返回,只有客户端代码才可以获取access_token,其不是通过redirect-uri返回的,之前发送的request携带的这个参数只是为了校验用。

时间: 2024-07-29 04:34:20

OAuth的accessToken是通过什么传输的的相关文章

android-如何处理 network on main thread exception 异常?

问题描述 如何处理 network on main thread exception 异常? 程序中设置了下面的两个类 class CallNetworkMethod extends AsyncTask<Void, Void, Void> { @Override protected Void doInBackground(Void... params) { if (TwitterUtils.isAuthenticated(prefs)) { sendTweet(); } else { Inte

Java模拟新浪和腾讯自动登录并发送微博_java

Java模拟新浪和腾讯自动登录并发送微博功能分享给大家,供大家参考,具体内容如下 1.准备工作只是登录无需申请新浪和腾迅的开发者账号,如果需要发送微博功能,需要申请一个新浪和腾迅的开发者账号,并添加一个测试应用.  过程请参考官方帮助文档,申请地址:新浪:http://open.weibo.com    腾迅:http://dev.t.qq.com/  我们需要的是App Key和App Secre及redirect_URI,源代码中已经包含了我申请的测试key,但由于限制直接用我的key你们的

OAuth工作原理随想——让你的系统提供的服务更加安全

最近这段时间,一直都在和web服务打交道.自己项目组的系统需要别的项目组提供服务接口:别的平台(手机)平台又需要我们这边给它们提供接口.实现.调用.接口文档都有所涉及.从中我发现一个非常重要的问题--安全,这是一个被严重忽略的问题. 我认为在网络这个充满敌意的大环境下,应用和服务的安全性,是一个不得不重视的问题.去年年底的CSDN账号泄露以及口令明文的事件,至少给了企业两个最基本的警示:(1)不要等到出现问题之后,才知道要去挽救,在这个浮躁的社会氛围下,出现哪怕不是什么大问题,都会被群起而攻之:

PHP版QQ互联OAuth示例代码分享_php技巧

由于国内QQ用户的普遍性,所以现在各大网站都尽可能的提供QQ登陆口,下面我们来看看php版,给大家参考下 /** * QQ互联 oauth * @author dyllen * */ class Oauth { //取Authorization Code Url const PC_CODE_URL = 'https://graph.qq.com/oauth2.0/authorize'; //取Access Token Url const PC_ACCESS_TOKEN_URL = 'https:

谈谈基于OAuth 2.0的第三方认证 [中篇]

虽然我们在<上篇>分别讨论了4种预定义的Authorization Grant类型以及它们各自的适用场景的获取Access Token的方式,我想很多之前没有接触过OAuth 2.0的读者朋友们依然会有"不值所云" 之感,所以在介绍的内容中,我们将采用实例演示的方式对Implicit和Authorization Code这两种常用的Authorization Grant作深入介绍.本章着重介绍Implicit Authorization Grant. Implicit Au

谈谈基于OAuth 2.0的第三方认证 [下篇]

从安全的角度来讲,<中篇>介绍的Implicit类型的Authorization Grant存在这样的两个问题:其一,授权服务器没有对客户端应用进行认证,因为获取Access Token的请求只提供了客户端应用的ClientID而没有提供其ClientSecret:其二,Access Token是授权服务器单独颁发给客户端应用的,照理说对于其他人(包括拥有被访问资源的授权者)应该是不可见的.Authorization Code类型的Authorization Grant很好地解决了这两个问题.

OAuth的机制原理讲解及开发流程

国内私募机构九鼎控股打造APP,来就送 20元现金领取地址:http://jdb.jiudingcapital.com/phone.html内部邀请码:C8E245J (不写邀请码,没有现金送)国内私募机构九鼎控股打造,九鼎投资是在全国股份转让系统挂牌的公众公司,股票代码为430719,为"中国PE第一股",市值超1000亿元.  -------------------------------------------------------- 原文地址:http://kb.cnblog

OAuth 2.0 授权原理

出处:http://www.cnblogs.com/neutra/archive/2012/07/26/2609300.html 最近在做第三方接入的,初步定下使用OAuth2协议,花了些时间对OAuth2的授权方式做了些了解. 我还记得一两年前,跟一位同事聊起互联网时,当时我说过一个想法: 目前不少较为稀有的资源,很多都是论坛提供下载的,论坛提供的下载往往要求一个论坛帐号,更有甚者,需回帖才可见,又或者下载需要消耗一定的虚拟货币,而这些货币可以用论坛活跃度而获得.假设现在我是一个普通用户,我要

OAuth 2 开发人员指南

这是支持OAuth2.0的用户指南.对于OAuth1.0,一切都是不同的,所以看它的用户指南. 本用户指南分为两个部分,第一部分是OAuth2.0提供端(OAuth 2.0 Provider),第二部分是OAuth2.0的客户端(OAuth 2.0 Client) OAuth2.0提供端 OAuth2.0的提供端的用途是负责将受保护的资源暴露出去.配置包括建立一个可以访问受保护的资源的客户端代表.提供端是通过管理和验证可用于访问受保护的资源的OAuth 2令牌来做的.在适当的地方,提供端也必须为