HTTPs上是否需要OAuth(2兆)。在3格场景中,我们使用oauth进行委派。但是Oauth(2-标签)通过https的目的是什么呢。
在我的场景中,我既是消费者,也是用户,因此不需要授权我使用https,https是不可重放的,也是安全的通道。你说我应该用吗
我说的不是三格或http
根据oAuth规范,第11.3节,
而OAuth提供了一种机制来验证请求,它不能保证请求的机密性。除非如果采取进一步的预防措施,窃听者将可以完全访问请求内容。服务提供商应仔细考虑可能作为此类请求的一部分发送的数据,并且应采用传输层安全机制,以保护敏感资源。
很明显,如果您的请求没有安全数据,例如user_id=2&messageId=33,则不需要https,但在2格场景中,在获取访问令牌的同时传递密码,此时必须使用https。
在这两种情况下,无论是2兆还是3兆,规则是,当您更新/获取安全数据(例如信用卡更新、支付、密码)时,您必须使用https。