搭建oauth验证服务时,如何防止客户端获取到用户的密码?
之前我用过人人网的oauth2.0认证,但是当时写的应用其实类似于自己用的小APP,所以直接在客户端里把用户名密码写死了,但是如果要搭建oauth服务的话,第三方网站是通过我的api来进行验证,其中有一个环节是需要传临时令牌跟用户的账号密码作为api请求参数,来访问认证服务器,这个过程如何防止第三方先对用户名密码做了保存呢?
一般情况来说是登录授权页面来进行授权,但是如果第三方伪造这样的授权页面怎么办呢。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
OAUTH
的认证过程中,在登录及需要密码时都是通过自身网站或者SDK
进行操作的,不是交给第三方代为获取的。防止伪造授权页面也是最常规的方法,如增加提醒、HTTPS认证等等,防伪造并不单独针对
OAUTH
,任何网站都是需要防伪造的(像那些假网银、假QQ登录比比皆是),那些防伪造的方法都是可以挪过来用的。