Javascript 发送谷歌&x2B；HTTP上的混合服务器端流一次性授权代码安全吗？

您好，我将从使用谷歌客户端流切换到 混合服务器端流，因为在向客户端发送访问令牌之前，我将向服务器发送该令牌，然后在用户登录或为其创建新帐户之前验证用户，但由于我无法让cors使用https，因此我无法安全地发送该令牌

我查看了不同的方式，似乎混合服务器端流一直都是我想要的，我唯一的问题是，使用ajax通过http发送一次性授权代码安全吗？

---

我认为这是因为它只能使用一次，而且一旦服务器使用它（通过https使用curl），它就不再有任何价值。这样，访问令牌就只会出现在服务器上，而不会出现在客户端，这似乎比使用客户端流的旧方法更安全。

简短的回答是：绝对不会。

较长的答案取决于风险水平和您愿意接受的风险，但总体而言，这似乎是个坏主意。它假定客户端和服务器之间的连接被截获或操纵的可能性很低，或者oauth保护的信息的价值非常低，没有人会尝试。这两种情况看起来都不安全

例如，对于介于客户机和服务器之间的流氓路由器来说，拦截请求（如果它知道请求的可能性）并首先使用客户机代码本身并不困难。这可能会导致服务器和客户端出现各种问题，需要一段时间才能解决。。。在此期间，盗贼可以访问任何被授权的服务。还有其他类似于此的场景，可能同样存在问题

---

更好的问题是——你为什么要这样做？您不愿意安装SSL服务器（即使是带有自签名证书的服务器）有什么原因吗？

只是想补充一下。如果你的站点不是SSL独占的，那么客户端和服务器之间的任何硬件都可以注入JavaScript并将代码发送到他们自己的服务器。我想我必须咬紧牙关，用SSL获得cors，因为这就是我认为这可能更好的原因，但我确实有我的疑问，这证明是正确的，哈哈。谢谢