在OAuth中, access_token参数的传递如何才能更安全呢? 不知你有没有具体去研究过, 在此总结传递access_token的正确方式,
(所谓正确方式是指传递方式更安全, 更隐匿, 更不容易被网络拦截,网络攻击的方式)
在 spring-oauth-server 与 oauth2-shiro 中均支持以下提到的传递access_token的方式.
1. 通过Header传递 access_token; [推荐]
在请求URL的Header中, 添加header -> Authorization: bearer access_token, 示例代码(Java):
postHandler.addHeader("Authorization", "bearer 0fe12a74-e613-4d1b-9785-f96847bad346");
一般在代码中使用httpclient或URLConnection来实现,如Android, IOS客户端, 不适用于浏览器传递access_token
2.若请求URL使用POST方式提交, 将access_token放在请求body中而不是拼接在URL上, 示例代码(HTML):
<form action="db_table_description" method="post"> <input type="hidden" name="access_token" value="0fe12a74-e613-4d1b-9785-f96847bad346"/> <input type="text" name="username"/> <button type="submit">Submit</button> </form>
3.最后的选择, 通过URL拼接参数access_token, 示例代码:
http://monkeyk.com/oauth_test?access_token=0fe12a74-e613-4d1b-9785-f96847bad346
一般使用在GET请求, POST等其他请求方式也支持
以上三种方式, 优先选择第一,第二种, 少用第三种方式.这些方式都是基于HTTP请求下所采用的.
更安全的传递access_token的方式是启用HTTPS连接,保证网络传输安全.