请参阅本视频,特别是从20.00到25.00。
他所描述的工作流程是这样的:客户端应用程序通过浏览器连接到授权终点。用户输入凭证,和authserization服务器认证用户和使用再直接向auth代码。客户端应用程序拦截浏览器活动,并提取了授权码。一个新的请求时与该授权码,客户端ID和一些其他信息一起令牌终点。作为回报,应用程序获得访问和刷新令牌。
是什么阻止窃取身份验证令牌在第一个步骤(通过浏览器历史说了),然后接触令牌终点获得接入和刷新令牌一些呢?
首先授权码仅用于一般约3分钟好。第二个授权码只能使用一次。第三重定向URI必须是已注册为该客户的OAuth服务器上的一个有效
端Oauth流
让我们用一些正确的术语做到这一点。
资源所有者负载客户端,客户端注意到资源拥有者没有被授权。资源拥有者接触授权使用客户端ID和可能的客户端密钥,并发送重定向URI标识本身,并请求作用域。 (一些送来的东西取决于auth服务器的设置)
当局注意到没有登录这个资源所有者会提示他们登录。在资源拥有者登录并检查什么作用域最初请求的客户端。提示资源所有者授予说作用域客户端访问。
资源拥有人同意访问。管理局返回给客户端的授权码。
客户说好的我有一个授权码,并返回到权力的授权码和客户端ID和密码。这样,当局知道,这其实是资源所有者的授权客户端。
当局然后返回一个访问令牌回,它可用于下一小时的客户端。
访问令牌不那么重新验证。因此,如果有人偷了此访问令牌,他们将能够直到它过期使用它。