OAuth2是否通过http标头验证请求域？

I am currently learning about OAuth2, and I am slightly confused about one part of it. Does the OAuth2 server compare the domain in the JWT with the domain in the request header?

What prevents someone from ripping a bearer token out of a JS app and then using it to make fraudulent API requests? Even if HTTPS is used, the token sent back from OAuth2 still has to be stored before it can be used in subsequent requests, thus making it vulnerable. What am I missing?

Edit: what if I create an oauth2 token from a non-browser client and there is no domain name to match against?

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
douxi4287 2014-08-06 02:36
关注
Nothing prevents it from being used. That's why you store it safely or you don't store it at all.

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

控制用于在PHP服务器中使用Oauth2和Google Play验证用户请求的流程？ android php
2014-10-27 04:22

回答 1 已采纳 Ok, I think I figured it out. Basic concept... 1) User asks for access token for Google Play Serv
Active Directory OAuth 2.0 - 通过PHP请求授权代码而不是浏览器请求 azure php
2017-06-06 15:55

回答 2 已采纳 The need here was to access APIs as a user later as well. When you redeem an authorization code,
Google OAuth2验证服务器流中的访问令牌 php
2016-12-18 20:55

回答 1 已采纳 As a result of authorization success from Google, you should also get refresh_token. If you are no
OAuth2 Server php
2016-10-25 22:15

围观岳老师的博客 OAuth2 Server php 转自：http://www.cnblogs.com/rereadyou/p/3448381.html 使用 OAuth2-Server-php 在 Yii 框架上搭建 OAuth2 Server Yii 有很多 extension 可以使用，在查看了 Yii 官网上提供的与 OAuth ...
如何用PHP读取OAuth请求参数？ php
2011-07-05 11:57

回答 1 已采纳 I suppose that both ways are equally valid for the OAuth specs, right? Yes, right. What's
使用PHP登录OAuth2 javascript php
2016-06-29 10:53

回答 1 已采纳 You should use redirects as you implied with JS frameworks. It works the same with Facebook. The
使用软件包“ golang.org/x/oauth2”对oauth2进行身份验证
2016-04-17 01:27

回答 1 已采纳 Follow up: I've used it and tweaked it several times and it does the job.
oauth2 api_OAuth，Twitter，WordPress HTTP API和您
2020-08-31 03:27

culi3182的博客 oauth2 apiIn previous tutorials, we took a deep dive into the WordPress HTTP API. We even went as far as building the following plugins to demonstrate real-world examples of its usage: domain whois an...
为什么我无法通过PHP从Google OAuth API获取数据？ php
2018-01-08 17:56

回答 1 已采纳 I've just come from dealing successfully with Google OAuth API for PHP. So far, your code doesn't
oauth + php：是否可以从不同的域发出代码请求和令牌请求 php
2012-07-07 17:01

回答 1 已采纳 Yes, your user can start the process on one domain, and end it on another. And as soon as you have
php + oauth：3脚和2脚身份验证有什么区别？ php
2012-05-21 13:17

回答 2 已采纳 The referenced URL provides a decent overview. In Google land: 2-legged OAuth (2LO) is typicall
OAuth2+JWT新一代认证技术
2022-09-19 20:44

野心很大的天蝎的博客所以为了让我们的应用能识别是哪个用户发出的请求，我们只能在服务器存储一份用户登录的信息，这份登录信息会在响应时传递给浏览器，告诉其保存为cookie,以便下次请求时发送给我们的应用，这样我们的应用就能识别...
请问oauth2这样访问不对吗？401错误了 java spring spring cloud
2022-05-24 11:09

回答 1 已采纳在资源配置里面放行不在SecurityConfig放行。
鉴权 OAuth 2.0的实现（Spring_Security_Oauth2）
2024-01-28 03:23

谦受益，满招损的博客可以理解为客户端和服务器之间的一次私密谈话，在一次对话中可能会有多个请求和响应；同时要具有鉴别多个请求是来自同一个客户端的一次对话的功能；用户认证通过后，为了避免用户的每次操作都进行认证，可将用户的...
WP REST API：设置和使用OAuth 1.0a身份验证
2020-06-10 15:44

cunjie3951的博客基本的身份验证方法允许我们通过在请求标头中发送登录凭据来发送经过身份验证的请求。虽然方便快捷，但这些凭据也有可能落入错误的人手中。因此，此方法仅应在安全网络上用于开发和测试目的。为了在生产服务器...
没有解决我的问题, 去提问

悬赏问题

¥15 R语言Rstudio突然无法启动
¥15 关于#matlab#的问题：提取2个图像的变量作为另外一个图像像元的移动量，计算新的位置创建新的图像并提取第二个图像的变量到新的图像
¥15 改算法，照着压缩包里边，参考其他代码封装的格式写到main函数里
¥15 用windows做服务的同志有吗
¥60 求一个简单的网页(标签-安全|关键词-上传)
¥35 lstm时间序列共享单车预测，loss值优化，参数优化算法
¥15 Python中的request，如何使用ssr节点，通过代理requests网页。本人在泰国，需要用大陆ip才能玩网页游戏，合法合规。
¥100 为什么这个恒流源电路不能恒流？
¥15 有偿求跨组件数据流路径图
¥15 写一个方法checkPerson，入参实体类Person，出参布尔值

OAuth2是否通过http标头验证请求域？

1条回答 默认 最新

悬赏问题

1条回答默认最新