2
隐式流程被认为是不安全的。我知道两个问题:隐式流程的安全隐患是什么
- Confused deputy。但为了克服它,你只需要检查access_token是否提供给你的应用程序。没什么大不了的。
- XSS攻击。因此,如果我们的access_token通过XSS攻击被盗,它可以用来发出请求(这是我们最初请求的范围的一部分)。它很糟糕,但很难窃取access_token,因为最有可能我们只有在我们的登录页面上才有它,并且没有存储在应用程序状态中,因为它很短(我猜这就是为什么隐式工作流程不支持刷新标记)。
它看起来不错。是否还有其他安全漏洞,我不知道?