Recently Updated Pages

11.3.1. 注册模板 Response type name: 请求的名称（例如，“example”）。 Change controller: 对于标准化过程的RFC，指...

11.3. OAuth授权端点响应类型注册表 本规范建立OAuth授权端点响应类型注册表。 在oauth-ext-review@ietf.org邮件列表上的两周的审查期后，根据一位或多位指定...

11.2.2. 最初的注册表内容 OAuth参数注册表中的初始内容： Parameter name: client_id Parameter usage location: ...

11.2.1. 注册模板 Parameter name: 请求的名称（例如，“example”）。 Parameter usage location: 参数可以使用的位置。...

11.2. OAuth参数注册表 本规范建立OAuth参数注册表。 在oauth-ext-review@ietf.org邮件列表上的两周的审查期后，根据一位或多位指定的专家的建议下，按规范需...

11.1.1. 注册模板 Type name： 请求的名称（例如，“example”）。 Additional Token Endpoint Response Paramet...

11.1. OAuth访问令牌类型注册表 本规范建立OAuth访问令牌类型注册表。 在oauth-ext-review@ietf.org邮件列表上的两周的审查期后，根据一位或多位指定的专家的...

11.IANA考量 11. IANA Considerations

10.16. 在隐式流程中滥用访问令牌假冒资源所有者 对于使用隐式流程的公共客户端，本规范没有为客户端提供任何方法来决定访问令牌颁发给的是什么样的客户端。 资源所有者可能通过给攻击者的恶意客...

10.15. 自由重定向器 授权服务器、授权端点和客户端重定向端点可能被不当配置，被作为自由重定向器。自由重定向器是一个使用参数自动地向参数值指定而无任何验证的地址重定向用户代理的端点。 自...

10.14. 代码注入和输入验证 代码注入攻击当程序使用的输入或其他外部变量未清洗而导致对程序逻辑的修改时发生。 这可能允许攻击者对应用程序的设备或它的数据的访问权限，导致服务拒绝或引入许多的...

10.13. 点击劫持 在点击劫持攻击中，攻击者注册一个合法客户端然后构造一个恶意站点，在一个透明的覆盖在一组虚假按钮上面的嵌入框架中加载授权服务器的授权端点Web页面，这些按钮被精心构造恰好...

10.12. 跨站请求伪造 跨站请求伪造（CSRF）是一种漏洞利用，攻击者致使受害的最终用户按恶意URI（例如以误导的链接、图片或重定向提供给用户代理）到达受信任的服务器（通常由存在有效的会话...

10.11. 钓鱼攻击 本协议或类似协议的广泛部署，可能导致最终用户变成习惯于被重定向到要求输入他们的密码的网站的做法。 如果最终用户在输入他们的凭据前不注意辨别这些网站的真伪，这将使攻击者...

10.10. 凭据猜测攻击 授权服务器必须防止攻击者猜测访问令牌、授权码、刷新令牌、资源所有者密码和客户端凭据。 攻击者猜测已生成令牌（和其它不打算被最终用户掌握的凭据）的概率必须小于或等于...

10.9. 确保端点真实性 为了防止中间人攻击，授权服务器必须对任何被发送到授权和令牌端点的请求要求RFC2818中定义的具有服务器身份验证的TLS 的使用。客户端必须按RFC6125定义且按...

10.8. 请求机密性 访问令牌、刷新令牌、资源所有者密码和客户端凭据不能以明文传输。授权码不应该以明文传输。 “state”和“scope”参数不应该包含敏感的客户端或资源所有者的纯文本信...

10.7. 资源所有者密码凭据 资源所有者密码凭据许可类型通常用于遗留或迁移原因。它降低了由客户端存储用户名和密码的整体风险，但并没有消除泄露高度特权的凭证给客户端的需求。 这种许可类型比其...

10.6. 授权码重定向URI伪造 当使用授权码许可类型请求授权时，客户端可以通过“redirect_uri”参数指定重定向URI。 如果攻击者能够伪造重定向URI的值，这可能导致授权服务器向...

10.5. 授权码 授权码的传输应该建立在安全通道上，客户端应该要求在它的重定向URI上使用TLS，若该URI指示了一个网络资源。 由于授权码由用户代理重定向传输，它们可能潜在地通过用户代理历...