oauth1安全吗?

2013-09-02 12:31:16 +08:00
 favormm
最近在研究这个协议。为何我觉得不安全呢。
只需要截获每次请求与redirect的数据包,就可以看到数据了。
最后的access_token也可以看到。
有没有安全专家谈谈?
3098 次点击
所在节点    程序员
7 条回复
alexrezit
2013-09-02 12:34:40 +08:00
呃... 所以有了 OAuth 2?
favormm
2013-09-02 12:38:25 +08:00
@alexrezit OAuth2还没仔细研究,不过觉得只要是http通信的,都能通过截获数据包来搞破坏呢。

oauth2其实也是客户端与service provider通信的,最终客户端获取一个可以操作service provider的access_token. 只要截获它,就没有安全可言了呀。
alexrezit
2013-09-02 12:39:44 +08:00
@favormm
呃... 所以有了 SSL?
justfindu
2013-09-02 12:46:00 +08:00
应该这么问~ 在web上信息安全么~
favormm
2013-09-02 12:46:02 +08:00
@alexrezit 对的,twitter三个url都是https的。
justan
2013-09-02 13:04:34 +08:00
OAuth1 协议中有加密部分.
OAuth2 的加密依赖 https.
SoloCompany
2013-09-02 14:05:29 +08:00
没看明白,接在协议中传递 access token 不是很正常么?又不是要让你传递 token secret,你更应该担心的是 app 被反编译拿到 app secret 吧,而且app也只有 app secret,token secret 仍然是你自己所掌握着,但你的手机都丢了的话另计了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/81038

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX