嗨,大家好,这是我第一次尝试在我的项目中处理Oauth。我已阅读link上的教程。我已经尝试过Google和Facebook Oauths,并且对它的简单性感到惊讶。现在我将尝试Twitter/Yahoo/Microsoft仅用于学习目的。 这个问题可能会给我带来负面影响,因为这是一个学习者问题。所以我的问题是当使用Facebook Oauth时,您需要LocalHost机器的SSL Https URL。雅虎/推特/微软如何?哪一个需要SSL。Twitter/Microsoft/Yahoo OAuth需要SSL吗?
0
A
回答
1
当使用OAuth,你应该使用SSL。事实上,截至今日,Twitter的所有终端都需要SSL。如果你研究协议,你会发现有令牌在授权头中来回传递。你会想要保护这些。您还希望保护来自提供者的响应,其中包含令牌和其他信息。某些应用程序可能不需要SSL(尽管Twitter现在可以),但最好通过设计来保证安全,默认情况下是安全的,并且可以保证部署安全。
1
不 - 您的localhost
机器确实是而不是需要运行SSL。
确实,即使您没有使用localhost
,也没有义务使用SSL。从理论上讲,如果你的令牌被拦截,风险就很小,因为你的私有令牌永远不会离开你的机器。
所以,OAuth技巧可以
User -> Your Website -> SSL to OAuth provider -> Redirect to localost (non SSL)
相关问题
- 1. Oauth是否需要SSL?
- 2. Google日历。 OAuth需要吗?
- 3. 在WebApi中需要SSL吗?
- 4. 重定向需要SSL吗?
- 5. 身份验证系统需要ssl吗?
- 6. SSL需要使用谷歌加API吗?
- 7. modulus.io SSL需要密钥文件吗?
- 8. Sitefinity需要SSL
- 9. Twitter拒绝使用scribe-java和“需要SSL”的Oauth请求
- 10. 通配符SSL - 我需要另一个用于subsubdomain.subdomain.domain.com的SSL吗?
- 11. 需要PECL OAUTH-1.0.0 windows dll
- 12. IBM Worklight Adapter需要OAuth
- 13. OAuth&OpenID - 需要确认
- 14. pecl oAuth扩展需要
- 15. 需要oauth值与js
- 16. 网站谷歌oauth需要
- 17. TortoiseHg SSL需要,但SSL激活
- 18. apl是ssl必需的吗?
- 19. 使用SSL需要什么?
- 20. Zend Gdata SSL始终需要?
- 21. MariaDB 10.1需要ssl无效
- 22. 需要帮助建立SSL
- 23. 需要SSL的贝宝亲?
- 24. IIS 7禁用“需要SSL”
- 25. WCF Http绑定,需要SSL
- 26. Pinterest需要在OAuth工作之前授权App ID吗?
- 27. Rails,DNSimple,Heroku和SSL - 我需要证书吗?
- 28. 与Postgres安全的TCP连接?需要SSL吗?
- 29. 你需要ssl来连接mongolab和heroku吗?
- 30. Heroku SSL端点 - 我需要更改git remote吗?
如果涉及认证,则应始终在任何地方使用SSL。否则,攻击者可以简单地窃取您的身份验证cookie。 (例如,Firesheep) – SLaks