为什么/OAUTH/Authorize应该安全?
根据http://projects.spring.io/spring-security-oauth/docs/oauth2.html:
请注意。应该使用Spring Security保护授权endpoint/OAUTH/Authorize(或其映射的替代),以便仅对经过身份验证的用户进行访问。
这是为什么?一个endpoint需要一个授权授予来交换一个授权代码,这听起来是不对的。这就像登录页面的登录页面,特别是当授权授予将通过资源所有者密码凭据时。
共有1个答案
oAuth2授权工作分为两个步骤:
- 用户使用其凭据进行身份验证
- 用户授予应用程序X使用其数据的权限
第2步发生在/oauth/authorize,第1步发生在应用程序的其他地方(很可能是通过Spring Security支持的表单登录)。
-
问题内容: 我正在使用Max OS X Mountain Lion,java -version返回“ 1.6.0_37”。但是我无法使用导入的com.apple.eawt。*类编译项目。 我必须安装什么才能在系统上安装Apple Java Extensions? 任何帮助,将不胜感激! 更新 : 我从编译器收到以下错误: 更新2 : XCode版本4.5.2已安装 更新3 : 我的问题的原因是在类
-
我的老师让我这样做,但在评论区我被告知我不应该这样做。 为什么?
-
为什幺应该使用流 在node中,I/O都是异步的,所以在和硬盘以及网络的交互过程中会涉及到传递回调函数的过程。你之前可能会写出这样的代码: var http = require('http'); var fs = require('fs'); var server = http.createServer(function (req, res) { fs.readFile(__dirname
-
我正在建立一个使用Hybridauth与谷歌登录的网站。 我只想要一些基本信息,如电子邮件,用户ID和用户名,但我不能设置正确的范围。 google plus outh的东西 当access_type=online时,“此应用程序希望:具有脱机访问”
-
问题内容: 之间有什么区别: 和 我知道JPanel是GUI组件的容器,但我确实看不到使用它的实用程序。当然,我错了,但我是从Swing开始的,所以…为什么我应该使用JPanel?真正的目的是什么? 问题答案: 为什么我应该使用JPanel? 您可以使用JPanel获得以下一项或多项好处: 将组件分组在一起。 为了更好地组织您的组件。 为了使我们能够使用 多种布局 并组合其效果。(例如,用于数字键
-
问题内容: 触发服务器调用以获取componentWillMount生命周期方法中的数据是一种不好的做法? 以及为什么最好使用componentDidMount。 问题答案: 更新: componentWillMount将很快被弃用。 引用@Dan Abramov 在 React的未来版本中,我们期望componentWillMount 在某些情况下 会触发多次 ,因此您应该对网络请求使用comp