oauth1安全吗？

2013-09-02 12:31:16 +08:00

favormm

最近在研究这个协议。为何我觉得不安全呢。
只需要截获每次请求与redirect的数据包，就可以看到数据了。
最后的access_token也可以看到。
有没有安全专家谈谈？

2974 次点击

所在节点

程序员

7 条回复

alexrezit

2013-09-02 12:34:40 +08:00

呃... 所以有了 OAuth 2?

favormm

2013-09-02 12:38:25 +08:00

@alexrezit OAuth2还没仔细研究，不过觉得只要是http通信的，都能通过截获数据包来搞破坏呢。

oauth2其实也是客户端与service provider通信的，最终客户端获取一个可以操作service provider的access_token. 只要截获它，就没有安全可言了呀。

alexrezit

2013-09-02 12:39:44 +08:00

@favormm
呃... 所以有了 SSL?

justfindu

2013-09-02 12:46:00 +08:00

应该这么问~ 在web上信息安全么~

favormm

2013-09-02 12:46:02 +08:00

@alexrezit 对的，twitter三个url都是https的。

justan

2013-09-02 13:04:34 +08:00

OAuth1 协议中有加密部分.
OAuth2 的加密依赖 https.

SoloCompany

2013-09-02 14:05:29 +08:00

没看明白，接在协议中传递 access token 不是很正常么？又不是要让你传递 token secret，你更应该担心的是 app 被反编译拿到 app secret 吧，而且app也只有 app secret，token secret 仍然是你自己所掌握着，但你的手机都丢了的话另计了

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/81038

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.