防止 OAuth 客户端修改用户的请求

Posted 2023-03-08

【中文标题】防止 OAuth 客户端修改用户的请求

【英文标题】：Prevent OAuth client from modifying user's request

【发布时间】：2014-07-07 06:33:30

【问题描述】：

我使用某个公司开发的网络应用程序来管理我的社交信息。此 Web 应用程序将各种社交网站（如 twitter、facebook、google+）集成为一个。使用这个应用程序，我可以发送推文、阅读电子邮件和创建好友请求。

网络应用程序使用 OAuth 2.0 协议来访问我在这些社交网站中的数据。在我登录到这个 web 应用程序后，我被重定向到 twitter 页面，然后显示一个页面，上面写着 web 应用程序需要能够发送推文等，并请求我的批准。一旦我批准，我就可以使用这个网络应用程序发送推文。

要发送推文，我键入推文，然后单击 Web 应用程序中的按钮。在后面，Web 应用程序使用 OAuth 访问令牌向 twitter 发送请求。

我在这里担心的是网络应用程序可能会修改我的推文。 OAuth 2.0 协议中有没有办法保证 Web 应用程序不会修改推文？

【参考方案1】：

我将问题发布到 OAuth Google 网上论坛。 Nat Sakimura 友好地回答了这个问题。你可以在https://groups.google.com/forum/#!topic/oauth/2OdlR40fZsI看到答案。