V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
favormm
V2EX  ›  程序员

oauth1安全吗?

  •  
  •   favormm · 2013-09-02 12:31:16 +08:00 · 3098 次点击
    这是一个创建于 4098 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近在研究这个协议。为何我觉得不安全呢。
    只需要截获每次请求与redirect的数据包,就可以看到数据了。
    最后的access_token也可以看到。
    有没有安全专家谈谈?
    7 条回复    1970-01-01 08:00:00 +08:00
    alexrezit
        1
    alexrezit  
       2013-09-02 12:34:40 +08:00
    呃... 所以有了 OAuth 2?
    favormm
        2
    favormm  
    OP
       2013-09-02 12:38:25 +08:00
    @alexrezit OAuth2还没仔细研究,不过觉得只要是http通信的,都能通过截获数据包来搞破坏呢。

    oauth2其实也是客户端与service provider通信的,最终客户端获取一个可以操作service provider的access_token. 只要截获它,就没有安全可言了呀。
    alexrezit
        3
    alexrezit  
       2013-09-02 12:39:44 +08:00
    @favormm
    呃... 所以有了 SSL?
    justfindu
        4
    justfindu  
       2013-09-02 12:46:00 +08:00
    应该这么问~ 在web上信息安全么~
    favormm
        5
    favormm  
    OP
       2013-09-02 12:46:02 +08:00
    @alexrezit 对的,twitter三个url都是https的。
    justan
        6
    justan  
       2013-09-02 13:04:34 +08:00
    OAuth1 协议中有加密部分.
    OAuth2 的加密依赖 https.
    SoloCompany
        7
    SoloCompany  
       2013-09-02 14:05:29 +08:00
    没看明白,接在协议中传递 access token 不是很正常么?又不是要让你传递 token secret,你更应该担心的是 app 被反编译拿到 app secret 吧,而且app也只有 app secret,token secret 仍然是你自己所掌握着,但你的手机都丢了的话另计了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   979 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 20:24 · PVG 04:24 · LAX 12:24 · JFK 15:24
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.