Oauth2访问令牌能否由客户端共享？_Oauth_Linkedin

Oauth2访问令牌能否由客户端共享？

oauth linkedin

Oauth2访问令牌能否由客户端共享？,oauth,linkedin,Oauth,Linkedin,我是OAUTH新手，正在尝试理解规范。因此，根据，我了解客户端A可以获得授权代码，然后访问受保护资源的令牌现在，如果已获得访问令牌，则服务（例如，在中链接的服务）希望访问令牌成为URL查询的一部分因此，如果客户机A与客户机B共享访问令牌，或者任何人截获请求并获得访问令牌，那么他也可以开始访问客户机A可以访问的所有详细信息。这种理解正确吗？如果是，那么我们如何保护这种访问令牌共享/滥用？有多种方法可以将访问令牌传递给受保护资源的端点。例如，作为查询参数，例如： access\u token={

我是OAUTH新手，正在尝试理解规范。因此，根据，我了解客户端A可以获得授权代码，然后访问受保护资源的令牌

现在，如果已获得访问令牌，则服务（例如，在中链接的服务）希望访问令牌成为URL查询的一部分

因此，如果客户机A与客户机B共享访问令牌，或者任何人截获请求并获得访问令牌，那么他也可以开始访问客户机A可以访问的所有详细信息。这种理解正确吗？如果是，那么我们如何保护这种访问令牌共享/滥用？

有多种方法可以将访问令牌传递给受保护资源的端点。例如，作为查询参数，例如：

access\u token={您的访问令牌}

另一个示例是承载令牌用法（），其中访问令牌嵌入在授权报头中，如：

Authorization:Bearer{您的访问令牌}

如何传递访问令牌由每个服务定义

访问令牌必须保密。如果客户端B获得了发给客户端A的访问令牌，客户端B的行为就如同客户端A一样。是的，存在访问令牌泄漏的风险，因此访问令牌的生存期有限，这也是大多数服务都有一个页面允许用户撤销访问令牌的原因