OAuth basato su JavaScript espone l'ID client dell'applicazione e si fida solo del dominio che richiede il token di accesso. Il nome di dominio può essere falsificato con un dirottamento DNS (o un virus che influenza /etc/hosts ). Allora perché OAuth basato su JavaScript è supportato da Google, Facebook per i clienti che non utilizzano HTTPS? O mi sto perdendo qualcosa?
OAuth 2.0 richiede praticamente HTTPS, in quanto non ha alcun mezzo per rendere sicuri i token. Quindi, se Google e Facebook ti consentono effettivamente di utilizzare OAuth2 su HTTP semplice, ciò è negativo. Sei sicuro che sia così? Ho pensato che entrambi fossero https-only per un bel po 'di tempo.
D'altra parte, OAuth1 funziona bene su HTTP semplice poiché ha il proprio livello di firme digitali sicure
Leggi altre domande sui tag javascript oauth phishing