我看了微信和阿里巴巴開放平臺的檔案,關于使用OAuth2.0協議進行認證授權的介面中,令牌access_token都放在url中,請問大神,這樣直接放在地址欄中安全嗎?不是很容易被人看到嗎?
為什么不把access_token放在cookie里?
uj5u.com熱心網友回復:
沒必要。因為你需要在他們的后臺配置回呼域名呀,除非你能黑掉騰訊或者阿里的服務器的DNS做劫持。uj5u.com熱心網友回復:
不對呀,微信設定的后臺回呼域名是js使用的,url地址不管在什么服務器呼叫都是可以的uj5u.com熱心網友回復:
回呼頁面必須在后臺配置的域名下面。另外,cookie本身也可以修改,從安全性上來講和url是一樣的。uj5u.com熱心網友回復:
哦,明白了,你說的是獲取用戶資訊,需要用戶授權的回呼頁面是需要指定url地址了, 我說的access_token是普通access_token。從安全性講,放url和cookie是一樣的, 那從規范或者其他利弊角度,還有其他因素嗎?
uj5u.com熱心網友回復:
騰訊要求以https的方式來訪問介面,URL中域名之后的內容屬于應用層,均被加密了,所以擔心是多余的了。轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/94028.html
標籤:網絡協議與配置
上一篇:交換機VAN間路由