Http перенаправить форму OAuth2-Server: как значения добавляются в качестве URL-хеша?

Question

Http перенаправить форму OAuth2-Server: как значения добавляются в качестве URL-хеша?

Скажем, в неявном потоке Oauth, redirect uri Я предоставил это http://www.abc.de/de

Тогда oauth2-сервер ответит 302 и location скажет что-то вроде:

http://www.abc.de/de#access_token=blabla&token_type=bearer

Затем мой браузер перенаправляет меня на http://www.abc.de/de без хеша, верно?

Как хэш URL добавлен в мой URI перенаправления? Сервер Outh2 просто добавляет его, а затем устанавливает location к этому значению?

И откуда я знаю, что значение, указанное в access_token заслуживает доверия? location часть запроса http правильна? Таким образом, хотя URL-хэши не отправляются на сервер, location значение может быть перехвачено и вмешано с помощью атаки MITM.

Или я здесь все перемешиваю?

0

oauth-2.0 implicit-flow

Источник

user3629892 09 мар '18 в 17:04

1 ответ

Другие вопросы по тегам oauth-2.0 implicit-flow

user4399281 10 авг '18 в 16:07 2018-08-10 16:07 · Answer 1 · 2018-08-10 16:07

Я думаю, что сервер идентификации никогда не отправит эти токены обратно, если URL-адрес не добавлен к доверенным URL-адресам на сервере. поэтому, если кто-то создаст страницу посередине и заставит людей проходить аутентификацию на ней, он никогда не вернет токен, потому что URL-адрес клиента не является доверенным