是oauth(对于twitter /或一般)安全在http
问题描述:
我正在考虑在我的网站上实现twitter登录。我正在使用一个处理所有事情的库。然而,第一步:检索请求令牌,twitter strongly recommends即you use HTTPS for all OAuth authorization steps。是oauth(对于twitter /或一般)安全在http
还有一个问题,twitter发送给你的oauth_token是否会根据每个请求更改?当twitter向你发送访问令牌数组时,它的值会在用户下次登录时改变 - 我问这是因为我想将它们保存在数据库中。
我看到很多网站没有使用HTTPS。所以回到我的问题,没有https使用oauth是否安全?
答
我会说不,对于OAuth使用常规http是不安全的。在不使用https的登录名的中间攻击中做一名男子是相对简单的。最近有不少人抱怨说他们的Twitter和Facebook账号被这种方法破解。很多人,比如我自己,现在使用浏览器插件强制网站twitter和facebook在https上自动提供。对于使用无线网络的人来说,这种攻击特别普遍。特别是共享无线,如在咖啡馆,酒店或机场。