问题描述
OAuth 手册 https://www.oauth.com/oauth2-servers/client-registration/client-id-secret/ 说
client_id 是应用程序的公共标识符。即使它是 公开的,最好不要被第三方猜到,这么多 实现使用类似 32 个字符的十六进制字符串。它必须 在授权服务器的所有客户端中也是唯一的 处理。如果客户端 ID 是可猜测的,则更容易 对任意应用进行网络钓鱼攻击。
我为什么要关心客户端 ID 猜测?它是公开的。任何人都可以阅读它。为什么我要把它变成十六进制字符串?
我可以拥有自己的 oauth 提供程序,它只有很少的客户端 ID,例如应用程序 1、应用程序 2、应用程序 3。我将仅使用 PKCE 和服务器重定向到众所周知的 url。
具有如此短的客户端 ID 值的情况如何容易受到网络钓鱼的攻击?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)