你好,我将从使用谷歌客户端流切换到混合服务器端流,因为在客户端被发送access_token之前,我会将其发送到服务器,然后在用户登录或为他们创建新帐户之前验证用户,但由于我无法使用https,我无法安全地发送它。
我查看了不同的方式,混合服务器端流似乎是我一直想要的,我唯一的问题是,使用ajax通过http发送一次性授权代码安全吗
我认为这是因为它只能使用一次,一旦服务器使用它(使用curl通过https),它就不再有任何价值了。access_token将只在服务器上,而从未在客户端上,这似乎比使用客户端流的旧方式安全得多。
简短的答案是:绝对不是
较长的答案取决于风险水平和你愿意接受的风险,但总的来说,这似乎是个坏主意。它假设客户端和服务器之间的连接被拦截或操纵的几率很低,或者oauth保护的信息价值非常低,没有人会尝试。这两者似乎都不是安全的前景。
例如,纯粹是随机应变,客户端和服务器之间的流氓路由器拦截请求(如果它知道请求的可能性)并首先使用客户端代码本身并不困难。这可能会在服务器和客户端上造成各种问题,可能需要一段时间才能解决。。。在此期间,流氓可以访问被授权的任何服务。还有其他类似的情况,也可能同样存在问题。
更好的问题是,你为什么要这样做?你不愿意安装SSL服务器,哪怕是一个拥有自签名证书的服务器,有什么原因吗?