这是oauth2方法可靠的验证吗？

Question

目前，我正在对实习公司进行研究。该公司使用OAuth2方法在公司Web App Services和合作伙伴的API之间进行集成，但不支持知道用户是谁。另外，我发现该公司将刷新令牌和访问令牌放在Web浏览器上的会话存储中。就我的研究而言，可以使用劫持方法攻击Web应用程序。 另一件事是某些集成仅使用API​​键进行握手。 我的假设是：

1. 公司需要在OAUTH2之前实施OIDC，
2. 需要对会话存储的刷新和访问令牌进行加密，但是我不知道
3. 只有使用API​​密钥需要实现OAuth2的公司

是否有可能，或者不是可能的。

1. OAuth2方法是最好的方法确保身份验证吗？
2. 可以在会话存储Web浏览器上加密令牌吗？

预先感谢：D

Answer 1

简短答案：是

您的假设

1. OIDC基于oauth2的 AN 身份验证 本身具有 tokens
   stackoverflow问题

   oidc网站

2. oauth2完全基于http请求，您可以获取令牌并使用令牌并用任何代币来加密它们您想要的加密算法。

3. oauth2不是API的强制性，如果您已经使用键固定API（我不知道安全级别以及如何创建这些键），则只能使用它们。

问题的答案

1. oauth2是授权和身份验证方法之一，有很多，并且不是“一件尺寸适合所有”解决方案。

2. 当然！令牌是base64字符串，您可以使用a

   
   

最终考虑因素，

我建议您阅读有关OAuth2并尝试一些流，以下是一些资源，您可以在其中玩耍和学习Oauth2

oauth2文档
oauth2 playground