据我了解用于验证的公钥,例如accesstokens 客户端不知道,但取自 OAUth 端点 token_key。
这是否意味着我的系统的安全性完全依赖于可能比令牌加密安全性低得多的通道上的“密钥交换”?例如。我的令牌使用 4096 位密钥,但确保我与正确端点通信的 SSL 证书仅使用 2048,或者我的系统配置为接受过时的 TLS 版本,或者我能够以某种方式(在公司网络中)创建受信任的 SSL证书或或或
为什么没有更完善的密钥交换机制?
如果您处于无法信任 HTTPS 的地方,那么您就会遇到更大的问题,但您是对的,当 HTTPS 不受信任时,OAuth2 的设计并不安全。
假设 HTTPS 是可信的。