马克丁全家桶

视频里面的爆炸这么假呢

用 PayPal

terminal.app

> $ ftp

没有官方 app，请联系你使用的 app 的作者

很正常

我厂有用 TeleSign 的短信服务，之前 Twilio 也用过。

往国内发，确实是有大量国内手机号码的。

惊了刚决定老老实实用 Safari

你还可以直接删掉

在 /Applications/QQ.app/Contents/Library/LoginItems

emmmmmm

cn.pool.ntp.org 不好么

建议全捐去 ntppool

不安全

@march1993 呃，access_token 和 refresh_token 就是 IdP 发给你（ client ）的啊

要线上玩的人为什么不玩 QQ 象棋 JJ 象棋呢？

现在还坚持线下下棋的人，怕不会是你的目标用户群体。

你们是防贼呢？

前端根本没有保密性可言，

后端项目内部全用 RPC 效率低不说，代码冗余、项目混乱，维护成本还要买单

@q397064399 对的，要用服务器来刷新，客户端和服务器之间没有具体规定，你可以用 access token （由 IdP 颁发而非自行颁发）、cookie、session、或者自行颁发 access token

@q397064399 #37 所以 refresh token 是禁止放在 agent 的

@SingeeKing #32 由客户端的服务器刷新。

如果你真的在客户端能成功刷新 access token，那么你的 client secret 已经至少暴漏给用户了

@SingeeKing #29 按照 IETF 和 OpenId 的要求，refresh token 和 client secret 是不可以放在 agent 上的，也就是说，其实目前大部分将 refresh token 和 client secret 保存在用户手机或者其他设备的 agent 是不合规且有隐患的。

@march1993 另外你 #24 说的没错，通常情况下，token 泄漏，client 的开发者是除用户之外最大的受害者。

所以理论上 client 的开发者有权利和义务选择最严格的流程并且完整实践 OAuth 2.0/OpenId Connect 所有对于安全性的要求和建议。

而对于敏感数据的提供方，作为 RP 应当要求 client 和 IdP 使用严格的 token 交换机制。
作为 IdP，因其本身不提供敏感数据（ OAuth 中只作为用户身份认证令牌的提供方，OpenId Connect 中还要提供一个 Userinfo Endpoint ），则应当为 RP 和 client 的安全性考虑，为他们实作标准中提出的安全机制。

@march1993 #27 resource provider 的接入一般是受 authentication provider 管理方的严格限制的，所以这个角度不容易泄漏。

大部分只在服务器上调用 RP 接口的 client 也不会泄漏 token。

那么就只剩下 agent 了，而 agent 是不允许持有 client secret 和 refresh token 的。

此时 access token 若泄漏，只会造成短时间的风险（一般是 3600 秒），虽然可以做一堆事，但远比直接泄漏用户密码或者长期令牌要安全的多。

更严格的策略要求 agent 也不可以持有 access token，必须通过后端服务器与 IdP/RP 交互。

在最严格策略下，可能的泄漏风险是换取 access token 之前，authentication provider 返回的 code，引入 PKCE 对 agent 进行 challenge，code 与 PKCE 的 code_verifier 绑定，只有此 agent 的后端服务器可以用 client_secret, code_verifier 和 code 换到 access token。