软件系统的安全性只能从目前我们的系统架构来说。主要有:
OAuth2,第三方应用需要首先请求授权服务器以获取到授权许可code,再通过授权许可code去请求访问令牌
客户端必须得到用户的授权(authorization grant),才能获得令牌(access token)
客户端将用户导向认证服务器。
用户决定是否给于客户端授权。
假设用户给予授权,认证服务器将用户导向客户端指定的"重定向URI",并在URI的Hash部分包含了访问令牌。
浏览器向资源服务器发出请求,其中不包括上一步收到的Hash值。
资源服务器返回一个网页,其中包含的代码可以获取Hash值中的令牌。
浏览器执行上一步获得的脚本,提取出令牌。
浏览器将令牌发给客户端。!(https://upload-images.jianshu.io/upload_images/5362354-6b759c6736124b85.png)
阅读全文
收起全文
