我对oauth2.0做了很好的研究。但是当涉及到客户端向授权服务器请求访问令牌的部分时,我完全迷失
了如何通过 TLS 保护此通信?此通信不涉及用户代理(浏览器(,因此我假设这是客户端-服务器通信。那么,证书验证是如何进行的。 我不记得将任何证书从 facebook 服务器导入到我的测试应用程序的密钥库。
我无法搜索到有关此的任何正确答案
问候 阿米特
从 OAuth 2.0 的角度来看,访问令牌是凭据。访问令牌可用于访问受 OAuth 2.0 保护的资源。
当数据通过网络传输时,攻击可以针对从有线中提取数据。如果传输的数据未加密,则此类攻击将揭示正在传输的纯数据。如果此类数据包含令牌请求和响应,则恶意方可以提取访问令牌。这在RFC6749中也突出显示,
Since requests to the token endpoint result in the transmission of
clear-text credentials (in the HTTP request and response), the
authorization server MUST require the use of TLS as described in
Section 1.6 when sending requests to the token endpoint.
当客户端与授权服务器建立连接时,该连接也会通过公共网络打开。因此,攻击也存在于其中。这就是您必须使用 TLS 进行令牌请求的原因。
现在,TLS 的功能是一个单独的主题。它使用由证书颁发机构 (CA( 颁发的数字证书。有受信任的 CA,默认情况下受操作系统信任。因此,当您与Facebook连接时,如果Facebook使用由知名CA颁发的tls证书,则无需配置任何内容。