0
私はJWTでのoauth2の仕組みには初心者ですが、短時間でそれを学ぶ必要があります:)ビットを読んだ後、私はこのような仕事の結論を抽象化します。Oauth 2の後続要求はどのように保護されていますか?
今私は私の心の中で2つの質問があります。
(1)OAth2の仕組みはわかりますか?
(2)手順6(図)の後で、私が認める限り、承認サーバーへのこれ以上の要求はありません。その後、誰(侵入者)は、認証サーバーによって与えられたトークンの魔女がWeb APIと通信し、不正アクセスを取得することができることを知っています。 (私はトークンが侵入者によって変更されていないことを知っています。それ以来、ウェブAPIは新しいものですが、侵入者はそれを変更せずにウェブAPIと通信できます)
私は逃してしまったことを知っています。
私はそれを知っています。侵入者がWeb APIにメッセージを送信すると、どこから来ているのか分かりますが(トークンが埋め込まれています)、別のソースアドレス侵入者?それはOauth 2の仕組みですか? – Prageeth
認証されたセッション中にコンシューマーのIPが変更されないと想定できるのであれば問題ありません。ネットワークを何度も変更するモバイルコンシューマがいる場合は、毎回再認証する必要がありますか? –
私はモバイルデバイスのIPアドレスでも、送信元アドレスが別の方法で変更されることはないと思います。 – Prageeth