0
我正在開發一個使用Codeigniter和Oauth2(Alex Bilbies庫)的API。 API正在被我的iPhone應用程序使用。對於每個請求,我需要將訪問令牌作爲URL中的參數發送。有沒有辦法在標題中發送令牌?爲了避免它「暴露」?不使用URL中的參數發送訪問令牌
感謝您的所有意見!
A
回答
1
通過GET發送訪問令牌與在頭中發送訪問令牌一樣不安全。
OAuth 1用於解決這一切與各種加密,安全的密碼,你甚至可以打開認證。這完全是一個巨大的痛苦,所以現在在OAuth 2中,您只需使用HTTPS即可爲您完成所有這些工作。
3
的OAuth 2.0令牌承載允許你插入它們在HTTP授權頭如下:
POST /my/api HTTP/1.1
Host: rs.company.com
Authorization: Bearer abcdef123456
哪裏abcdef123456是你的訪問令牌(參見:http://tools.ietf.org/html/draft-ietf-oauth-v2-bearer-16#section-2.1)。事實上,規範說如果可能的話,你應該這樣做來代替請求參數。
該規範使用OAuth 2.0令牌承載時,還介紹了許多安全方面的考慮(見:http://tools.ietf.org/html/draft-ietf-oauth-v2-bearer-16#section-4)
相關問題
- 1. 在URL發送令牌
- 2. 如何使用wss .net客戶端發送訪問令牌
- 3. 如何發送訪問令牌以訪問AWS服務 - BEGINNER
- 4. 使用外部訪問令牌或本地訪問令牌
- 5. Azure AD使用刷新令牌訪問使用javascript的訪問令牌
- 6. 使用應用訪問令牌發佈分數
- 7. 訪問令牌?
- 8. 發送URL參數
- 9. Salesforce - 不朽訪問令牌
- 10. 我們何時使用應用訪問令牌和用戶訪問令牌?
- 11. 使用註銷URL和訪問令牌的Facebook jQuery註銷
- 12. 獲取用戶訪問令牌facebook訪問令牌節點
- 13. 成功驗證後捕獲Facebook發送的訪問令牌
- 14. 發送引腳以獲取來自twitter的訪問令牌
- 15. 訪問/刷新令牌的使用
- 16. OAuth 2請求新的訪問令牌使用刷新令牌?
- 17. 使用刷新令牌獲取新的訪問令牌adal js
- 18. 使用個人api的刷新令牌更新訪問令牌
- 19. 訪問URL參數
- 20. Retrofit2:添加訪問令牌中的查詢參數與攔截
- 21. 發送參數的URL
- 22. 訪問令牌的redirect_uri參數是否必須與用於請求令牌的redirect_uri參數相同
- 23. Facebook用戶訪問令牌vs應用訪問令牌vs頁面訪問令牌
- 24. 顏色框不發送的URL參數
- 25. JTwitter訪問令牌和訪問令牌的祕密
- 26. 返回用戶令牌而不是訪問令牌
- 27. KeyError:訪問令牌
- 28. 隨着Facebook離線訪問令牌發送好友請求
- 29. 如何通過ajax請求發送Twitter OAuth訪問令牌?
- 30. Facebook:發送iOS訪問令牌服務器端並使用App Secret簽名
看到最後一點http://tools.ietf.org/html/draft-ietf-oauth-v2-bearer -16#部-4.3 – gihanchanuka 2015-10-02 07:32:52