我认为混合流动存在一些混乱 .
在这种情况下,假设我们有一个需要对用户进行身份验证的本机桌面应用程序 . 对于这种情况,我们使用推荐的混合流程 .
据我了解,我们将使用嵌入式Web浏览器将用户定向到身份服务器的登录页面 . 用户成功登录,服务器将Web浏览器重定向到已注册的重定向URL . 桌面应用程序会收到此重定向的通知(类似于OnLoadFinished事件)并解析包含授权代码在内的一些信息的新URL . 然后,桌面应用程序将此授权代码交换为访问令牌/刷新令牌 .
考虑到这个过程,如果恶意用户知道重定向URL和客户端ID是什么(让我们假装这个用户是前雇员),他们可以创建一个非常类似的应用程序,如我们的桌面应用程序,这是不是完全可能的 . 诱骗用户使用该恶意应用程序?由于他们知道重定向网址和客户端ID,因此可以模拟上述过程并获取访问/刷新令牌 .
我是否正确理解或者是否有我遗漏的东西?
1 回答
你是绝对正确的 . 就像用户在其机器/设备上安装的任何其他恶意软件一样 .