Oauth2.0 通过access_token 获取数据的问题

悬赏园豆：100 [已解决问题] 解决于 2017-06-23 16:51

我看到微信API接口中使用access_token t的方式如下。

通过URL中传递access token，请问这种方式安全吗？

另外，Oauth2.0 的四种实现模式都不是通过URL传递access token。

这种算是什么模式呢？

oauth2.0

clound | 菜鸟二级 | 园豆：481
提问于：2017-06-21 18:29

< >

最佳答案

这里的安全是信任HTTPS是安全的。

OAuth2的四种方式和如何传递token并没什么联系，具体的可以参考我之前写的博客。

收获园豆：100

Timetombs | 老鸟四级 |园豆：3959 | 2017-06-23 09:46

其他回答(6)

哪里不安装?

吴瑞祥 | 园豆：29449 (高人七级) | 2017-06-21 18:35

安全只有相对。

http明文都不安全，只有换成https加密方式相对安全。

花飘水流兮 | 园豆：13615 (专家六级) | 2017-06-21 20:08

1.https 这里的 post/get 有区别吗？

2.这个请求，还有隐藏参数(第三方应用的账号和秘钥等参数)，第三方应用也是微信的一个用户，也是要验证身份的，即微信也是给了第三方账号和密码的

3.普通用户也是微信用户，是通过用户名和密码登录了微信的，普通用户授权给了第三方应用的一个access_token，这个token 是有关联哪个用户，哪些用户资源的、哪个第三方应用（一个特殊的用户）的，其他人拿了token 也没用。

两个都有身份的人，通过授权方式访问敏感信息。

Qlin | 园豆：2403 (老鸟四级) | 2017-06-22 09:28

正如3楼所说，这个access_token是对很多信息加密处理后得到的字符串，并不是谁拿到都有作用的，而且也有有效期，微信公众平台既然大规模使用这个方式，安全性肯定是被验证过的，其他一些开放平台也大都采用类似的方法。当然，你也可以采用标准的Oauth2.0 来做，都可以~

balahoho | 园豆：2050 (老鸟四级) | 2017-06-22 10:26

access_token是存在有效期的，再说你应该是后台请求的，又是https 不存在不安全的问题

kingreatwill | 园豆：383 (菜鸟二级) | 2017-06-22 10:45

你要先搞清楚 access_token 里面有些啥，确认自己已经理解了OAuth2的原理后，再来怀疑它是不是足够安全。

西漠以西 | 园豆：1675 (小虾三级) | 2017-06-23 11:20

清除回答草稿

您需要登录以后才能回答，未注册用户请先注册。

欢迎，请先 登录 或者 注册 。