Несмотря на то, что код авторизации является недолгим по сравнению с токеном авторизации, не существует ли уязвимости при отправке его в «GET» в виде строки запроса? Разве это не похоже на отправку пароля методом GET?
Другими словами, после аутентификации Facebook перенаправляет браузер пользователя на mysite.com, отправляя код авторизации в виде строки запроса. Разве это не зашифровано? Средний человек, который слушает ваши пакеты, может прочитать его и использовать для захвата вашего сеанса (сеанс на mysite.com)?
Сказать,
Я знаю, что я что-то здесь упускаю. Пожалуйста, помогите мне.
Спасибо @ Zólyomi за указание на то, что, хотя код авторизации передается в качестве параметра запроса, он использует HTTPS для отправки.
Ответ:
Строка запроса, отправленная через https, является безопасной. Независимо от того, какой http-метод GET или POST вы используете, он зашифрован, и никакой посредник не сможет его прослушать. Больше информации.
Безопасна ли строка запроса HTTPS?
Однако по многим другим причинам отправка пароля в строке запроса не является хорошей практикой (пароль может отображаться в журналах сервера в виде простого текста как часть URL-адреса и т. Д.). Но это здесь не применимо, потому что код авторизации является недолговечным и бесполезным после обмена на токен авторизации.
Других решений пока нет …