之前我用过人人网的oauth2.0认证,但是当时写的应用其实类似于自己用的小APP,所以直接在客户端里把用户名密码写死了,但是如果要搭建oauth服务的话,第三方网站是通过我的api来进行验证,其中有一个环节是需要传临时令牌跟用户的账号密码作为api请求参数,来访问认证服务器,这个过程如何防止第三方先对用户名密码做了保存呢?
一般情况来说是登录授权页面来进行授权,但是如果第三方伪造这样的授权页面怎么办呢。
OAUTH的认证过程中,在登录及需要密码时都是通过自身网站或者SDK进行操作的,不是交给第三方代为获取的。
防止伪造授权页面也是最常规的方法,如增加提醒、HTTPS认证等等,防伪造并不单独针对OAUTH,任何网站都是需要防伪造的(像那些假网银、假QQ登录比比皆是),那些防伪造的方法都是可以挪过来用的。