最优方案:Authorization Code + Token
1.授权的token 隐藏起来
2.引入了一个叫做Authorization Code 的中间层
3.当用网易账号登录的时候,【网易认证中心】这一次不给【信用卡管家】直接发token,而是发一个授权码(authorization code) , 【信用卡管家】服务器端取到这个code以后,在后台再次访问【网易认证中心】, 这一次【网易认证中心】才发给【信用卡管家】真正的token 。
4.【信用卡管家】引入防御措施,获取Token,只能通过【信用卡管家】发出请求(授权码关联了信用卡管家申请的app_id,app_secret)。同时可以让授权码有时间限制,比如5分钟失效,还有可以让授权码只能换一次token, 第二次就不行了。