의 OAuth 2.0 초안 v2-22 3.2 절은 말합니다 : 액세스 토큰 요청을 할 때클라이언트가 GET 또는 POST를 사용하여 OAuth 2 액세스 토큰을 가져와야합니까?
클라이언트는 HTTP "POST"방법을 사용해야합니다. 당신이 Facebook 및 Foursquare OAuth2를 구현 보면
그러나, 그들은 액세스 토큰을 요청하는 간단한 GET 요청을하는 클라이언트를 부탁드립니다. 그들은 클라이언트에게 client_id와 client_secret을 URL에 넣도록 요청합니다.
OAuth 2 서버를 구축하고 Facebook 및 Foursquare의 구현을 본 후 클라이언트가 GET을 통해 액세스 토큰을 요청할 수 있도록 프로토콜을 위반하는 것도 고려 중입니다. 내 사이트의 통신은 Facebook, Foursquare와 유사한 SSL을 사용합니다.
그럼 내 질문은 다음과 같습니다. 클라이언트가 HTTPS를 통해 GET 메서드를 통해 액세스 토큰을 요청하도록 허용해서는 안되는 이유가 있습니까?
서버 로그에 대해서는 좋은 점이 있지만 Oauth2의 경우 서버에 일반 텍스트로 client_id 및 client_key를 저장합니다. 따라서이 정보가 서버 로그에있는 경우 데이터베이스에 이미 존재하는 것보다 훨씬 심각합니다. – Spike
동의 - 그때와 거의 같습니다. 웹 서버와 OAuth AS가 둘 다 통제하에 있다면 - 아무런 문제없이 IMHO를 사용할 수 있습니다. –