客户端应该使用 GET 还是 POST 获取 OAuth 2 访问令牌？

Question

OAuth 2.0 草案 v2-22 第 3.2 节说：

客户端在创建访问令牌时必须使用 HTTP“POST”方法 请求。

但是，如果您查看 Facebook 和 Foursquare OAuth2 实现，它们要求客户端发出简单的 GET 请求来请求访问令牌。他们要求客户端将 client_id 和 client_secret 放在 URL 中。

我正在构建一个 OAuth 2 服务器，在看到 Facebook 和 Foursquare 的实现之后，我强烈考虑也打破协议以允许客户端通过 GET 请求访问令牌。我的网站的通信使用 SSL，类似于 Facebook 和 Foursquare。

所以我的问题是：是否有任何充分的理由为什么我不应该允许客户端通过 HTTPS 上的 GET 方法请求访问令牌？

Answer 1

最常见的论点是，您不应将敏感信息放入查询字符串（GET 参数）中，因为 Web 服务器通常会记录 HTTP 请求 URL。 POST 数据可以任意长，因此通常不记录。因此，当您处理诸如 client_secret 或代码之类的内容（尽管它是一次性使用）时，将其传递到 POST 有效负载中是有意义的。

恕我直言，如果您使用不需要 client_secret 的 OAuth 2.0 流程（或者按照建议将其放入 HTTP 授权标头中） - 我没有发现允许 GET 存在问题。