Sto costruendo un piccolo sito che vorrei integrare con LinkedIn per l'autenticazione. LinkedIn dice che redirect_uri può essere http: // o https: // (non dover pagare per un certificato è davvero fantastico in questo momento)
Dopo aver esaminato le specifiche di OAuth2, non riesco a comprendere la possibilità di scambiare un token via testo come non incline alle vulnerabilità. So che questa è una domanda fondamentale, dato che sono abbastanza nuovo nel mondo criptico. E naturalmente so che una vulnerabilità così ovvia (se esistente) è già stata affrontata.
La domanda è: come? In che modo le specifiche trattano il token inviato all'agente utente in testo semplice e reindirizzato al client in modo potenzialmente non sicuro?