Le richieste che utilizzano OAuth2 si basano esclusivamente sul token al portatore?

1

Sto usando OAuth2 per proteggere un'API. Questa API verrà utilizzata esclusivamente da un sito Web noto e alcune app di Cordova.

  • Il sito invierà sempre un'intestazione referer corrispondente.
  • L'app Cordova invierà sempre un'intestazione x-requested-with .

Ho due domande simili a riguardo.

  1. Si possono (o dovrebbero) utilizzare queste intestazioni per verificare l'identità di un client quando si richiede un token di accesso?
  2. Si può (o dovrebbe) utilizzare queste intestazioni in aggiunta al token di accesso concesso per verificare l'identità del cliente?
posta Remco Haszing 10.08.2016 - 11:11
fonte

0 risposte

Leggi altre domande sui tag