OAuth Provider通过HTTP响应重定向将访问令牌发送回OAuth使用者:
HTTP/1.1 302 FoundLocation: https://consumer.org/redirect_uri#access_token=1111-2222-3333-4444
请注意,作为来自OAuth Provider的HTTP响应的一部分,访问令牌是如何通过网络发送的,除使用方外,ALSO还应位于HTTPS上。
然后,您的浏览器将对使用者端点执行一个新的HTTP GET请求:
GET /redirect_uri HTTP/1.1Host: consumer.org
注意如何不通过网络将访问令牌发送给使用者。位于的服务器
consumer.org将不会在此HTTP请求中接收令牌。相反,从返回的网页
https://consumer.org/redirect_uri将包含能够并且将从url片段读取访问令牌的javascript。
因此,您需要信任从Consumer.org(通过使用HTTPS)接收到的javascript代码,因为如果攻击者可以注入代码,它也可以间接获取访问令牌(并将其发送到任何地方)。
使用者的HTTP响应示例:
200 OKContent-Type: text/html<html><head><script> alert(window.location.hash) </script></head><body></body></html>
