OAuth 2.0 访问令牌未加密?

Posted

技术标签:

【中文标题】OAuth 2.0 访问令牌未加密?【英文标题】:OAuth 2.0 Access token is not encrypted? 【发布时间】:2016-03-15 13:53:28 【问题描述】:

我正在使用 System.IdentityModel.Tokens.jwt 库作为 jwt 访问令牌,在我调用 WriteToken 后,我可以在另一个程序中从 ReadToken 取回访问令牌值。那么访问令牌实际上并没有默认加密?

【问题讨论】:

【参考方案1】:

没有加密,但是应该签名,防止被篡改。

jwt library 有一个 ValidateToken 方法来使用您的令牌签名证书或密钥检查令牌签名是否正确。

您需要依赖 SSL 进行加密。 This Blog post 更详细地说明了签名和加密令牌之间的区别。

如果您认为 Oauth2.0 依赖 SSL 听起来有点疯狂,那么您并不孤单。查看 Oauth2.0 上的 Eran Hammer's thoughts 以及他为什么离开它。

【讨论】:

以上是关于OAuth 2.0 访问令牌未加密?的主要内容,如果未能解决你的问题,请参考以下文章

Spring Security Oauth2架构学习

加密的自定义字段是一种安全的方式来存储Apex标注的有限生命期OAuth令牌吗?

如何为组织帐户生成 GitHub OAuth 令牌?

使用 Google Tink 加密间歇性损坏数据

存储位置 - OAuth 2.0 中的访问令牌和刷新令牌

OAuth 2.0 访问令牌已过期,刷新令牌不可用