V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  march1993  ›  全部回复第 15 页 / 共 17 页
回复总数  333
1 ... 7  8  9  10  11  12  13  14  15  16 ... 17  
2018-06-12 23:27:35 +08:00
回复了 cc959798 创建的主题 Java 请问 OAuth 中的 access_token 为什么需要过期
@chinvo 我觉得如果你提 IdP 和 SP 的话属于另外一个范畴了,IdP 和 access_token、refresh_token 解决的是两个不同的问题吧?
2018-06-12 22:05:32 +08:00
回复了 cc959798 创建的主题 Java 请问 OAuth 中的 access_token 为什么需要过期
@chinvo 我理解的短时对于入侵者来说用 access_token 配合预先编写的程序可以干一堆事情了,所以可能我理解上有偏差
2018-06-12 21:57:48 +08:00
回复了 cc959798 创建的主题 Java 请问 OAuth 中的 access_token 为什么需要过期
@chinvo 即便如此,像我们这种下游开发者也只能跟着 access_token 走了
2018-06-12 21:56:49 +08:00
回复了 cc959798 创建的主题 Java 请问 OAuth 中的 access_token 为什么需要过期
@chinvo 不啊,按照我的思路,我的 token 是独立的,也就是这个 token 能做的事情也是有限的,所以危害是可以控制的。在被污染的 provider 被发现之前,它也可以一直请求更新 token,所以我觉得这个危险可能更严重。
2018-06-12 21:51:47 +08:00
回复了 cc959798 创建的主题 Java 请问 OAuth 中的 access_token 为什么需要过期
@chinvo 我觉得这种做法看似加强了安全,实则让审计成了一个黑箱。在若干第三方 resource provider 中,设有一个被入侵污染了,如何发现并清除呢?由于 access_token 是公用的,我任务这种情况下就很麻烦。
2018-06-12 21:44:07 +08:00
回复了 cc959798 创建的主题 Java 请问 OAuth 中的 access_token 为什么需要过期
当然我觉得拿鉴权还是有点过了,不过如果可以拿到 access_token 一次,就说明可以不断地拿了吧,只要用户经常使用的话?
2018-06-12 21:40:50 +08:00
回复了 cc959798 创建的主题 Java 请问 OAuth 中的 access_token 为什么需要过期
@Foolt 这个客户端应该是个第三方 JS 微博客户端对吧?这个短时 access_token 在用户每次登陆时都需要去刷新吧,存不存 refresh_token 一样啊,要 revoke 也可以直接用这个 access_token。所以存这个 refresh_token 的意义在哪里…要安全完全可以隔离不同的 token。客户端如果不安全,拿到了 access_token,那离拿鉴权也不远啊… 所以我不能信服你这个说法
2018-06-12 19:51:58 +08:00
回复了 cc959798 创建的主题 Java 请问 OAuth 中的 access_token 为什么需要过期
@littleylv 那完全可以授权多个 access_token,独立审计,也比这种短时 access_token 好啊
2018-06-12 17:20:23 +08:00
回复了 cc959798 创建的主题 Java 请问 OAuth 中的 access_token 为什么需要过期
我和你有同样的疑问,我觉得 access_token 也没有意义。从安全角度讲,拿到 access_token 离拿到 refresh_token 也只有一步之遥了
2018-06-12 00:24:12 +08:00
回复了 Tonni 创建的主题 问与答 微信 Mac 究竟用了什么耗电黑科技?
blame nodewebkit 咯
2018-06-11 20:15:03 +08:00
回复了 sz538 创建的主题 Linux 远程访问 Linux 桌面最快速最高效的方式是什么 VNC,RDP?
ssh 带上 x 转发不是挺好。。
@loveour 怎么办,革命吗?
http://telworld.com.cn/show-list-16729.html 国内带宽价格下不了 还不是因为这个
2018-06-08 23:52:36 +08:00
回复了 GhostRider 创建的主题 Linux 普通用户 远程 ssh 密码被拒绝
ssh 命令带上 -vvv 看日志呗
1 ... 7  8  9  10  11  12  13  14  15  16 ... 17  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1856 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 21ms · UTC 16:16 · PVG 00:16 · LAX 08:16 · JFK 11:16
Developed with CodeLauncher
♥ Do have faith in what you're doing.