0
比方说,用户在访问特定资源:防止用户
http://myapp/resource/id?access_token=123
和他的同事问他的链接到特定的资源是什么。用户发送他的链接,包括代币!现在该同事以另一个用户的身份访问该链接!有没有办法来防止这种情况?
我能想到的唯一的事情是针对服务器只接受POST请求,这种方式,客户端不需要把令牌中的链接。还有其他方法可以做到这一点吗?
一个更普遍的问题是,不使用会话变量,如何可以在服务器知道,如果用户在发送与访问令牌请求知道这是否是相同的用户谁认证的客户端吗?
你是怎么结束了在第一位置的URL访问令牌?你的cookies发生了什么事? – 2014-10-01 01:47:40
Cookie是存储令牌的最佳方式。顺便说一下,我的代币只有15分钟。 – 2014-10-01 02:23:00
是的,Cookie是存储访问凭证的常用方式。它们不会显示在URL中,并且可以被JavaScript隐藏,所以它们本质上不太可能意外地结束了它们不应该的地方。 – 2014-10-01 02:24:34