在 oAuth 2.0 中替代将详细信息作为 url 查询字符串传递?

【问题标题】:alternate to pass details as url query string in oAuth 2.0?在 oAuth 2.0 中替代将详细信息作为 url 查询字符串传递?
【发布时间】:2014-11-19 00:37:27
【问题描述】:

为了获得刷新令牌,我正在调用这样的服务

http://www.myapp.com/SampleApp/oauth/token?grant_type=password&client_id=my-trusted-client&username=admin&password=123456

现在服务将返回刷新令牌和临时访问令牌 但问题是'在 url 中通过网络传递用户名,尤其是密码是不安全的'所以我想调用 /oauth/token 并且我需要在请求中传递 grant_type、client_id、username、password..details正文或请求标头.... 并支持我需要在 security-servlet.xml 中配置的过滤器

而且我还想在请求标头中传递 access_token 来调用不在 url 中的休息服务,例如 员工/名单?accessToken=657gjgf3563285 我怎样才能做到这一点?以及我的 security-servlet.xml 看起来如何支持这一点? 最后,我对 /oauth/token 的请求看起来如何......

【问题讨论】:

    标签: spring-security oauth-2.0


    【解决方案1】:

    spring oauth 中支持 Bearer 令牌(请参阅 BearerTokenExtractor)。

    另外,如果在 URL 中传递用户名/密码对您来说是不安全的,则很可能将其放在请求正文或标头中将不再安全。为了更安全,您需要使用 PKI 加密内容或使用 HTTPS 之类的安全传输方法(OAuth 2 规范说它基本上是 TLS 的要求)。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2022-06-15
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode