В чем разница между кодом авторизации OAuth и неявными рабочими процессами? Когда использовать каждый?

Question

В чем разница между кодом авторизации OAuth и неявными рабочими процессами? Когда использовать каждый?

Принятый ответ Бобинса - это короткое портативное решение. Если вам нужно не только добавлять SVG, но и манипулировать им, вы можете попробовать библиотеку JavaScript «Pablo» (я ее написал). Он будет хорошо знаком с пользователями jQuery.

Пример вашего кода выглядел бы так:

$(document).ready(function(){
    Pablo("svg").append('');
});

Вы также можете создавать элементы SVG «на лету» без указания разметки:

var circle = Pablo.circle({
    cx:100,
    cy:50,
    r:40
}).appendTo('svg');

146

oauth-2.0 oauth

задан anon 18 June 2019 в 20:10

1 ответ

Другие вопросы по тегам:

oauth-2.0 oauth

Похожие вопросы:

score 0 · Answer 1

Кажется, существует два ключевых момента, не обсужденные до сих пор, которые объясняют, почему обход в Типе Предоставления Кода авторизации добавляет безопасность.

Рассказ : Тип Предоставления Кода авторизации утаивает уязвимую информацию от истории браузера, и передача кода зависит только от защиты HTTPS сервера авторизации.

Более длительная версия:

В следующем, я буду придерживаться терминологии OAuth 2, определенной в RFC (это - быстрое чтение): сервер ресурса , клиент , владелец ресурса сервера авторизации , .

Предполагают, что Вы хотите, чтобы некоторое стороннее приложение (= клиент) получило доступ к определенным данным Вашей учетной записи Google (= сервер ресурса). Позвольте нам просто предположить, что Google использует OAuth 2. Вы - владелец ресурса для учетной записи Google, но прямо сейчас Вы управляете сторонним приложением.

Первый, клиент открывает браузер для отправки Вас в безопасный URL сервера авторизации Google. Тогда Вы утверждаете запрос на доступ, и сервер авторизации передает Вас обратно ранее данному URL перенаправления клиента с кодом авторизации в строке запроса. Теперь для этих двух ключевых пунктов:

URL этого перенаправления заканчивается в истории браузера . Таким образом, мы не хотим долговечного, непосредственно применимого маркера доступа здесь. Недолгий код авторизации менее опасен в истории. Обратите внимание, что Неявный тип Предоставления делает , помещает маркер в историю.
безопасность этого перенаправления зависит от сертификата HTTPS о клиент , не на сертификате Google. Таким образом, мы получаем защиту при передаче клиента как дополнительный вектор атаки (Чтобы это было неизбежно, клиентом должен быть не-JavaScript. Так как иначе мы могли передать код авторизации через URL фрагмента, где код не пройдет сеть. Это может быть причиной, почему Неявный Тип Предоставления, который делает , использует URL фрагмента, используемый, чтобы быть рекомендованным для клиентов JavaScript, даже при том, что это больше не так.)

С Типом Предоставления Кода авторизации, маркер наконец получен вызовом от клиента к серверу авторизации, , где защита при передаче только зависит от сервер авторизации , не от клиента.