code值通过后端信道和clientSecrect一起使用,获取token。这里的客户端密匙起到了什么作用?为什么一定要这个呢?
code值在前端,我们假设它一定会泄露。那么攻击者拿到这个code,没有clientSecrect获取不到token。因此微信的授权中心还是需要对客户端身份做认证的,防止别人code泄露导致攻击者直接获取token。
攻击者可以使用我们系统的后端信道,带着code值访问我们后台接口,我们后台接口保存了clientSecrect,它直接访问微信获取token和用户信息,然后给攻击者响应。这样用户信息就泄露。
所以微信授权中心会对code做限制,code有效期30s,code的只能被使用一次。场景:用户点击同意,微信给code值,code值被泄露。攻击者拿到code走后端信道给微信获取token,但是code值只能被使用一次。用户紧接着就使用code去获取token,授权中心看到code被使用了两次,就会立刻是这个code生成的token失效,防止token泄露。
也就是说token被泄露的情况在,code值被获取,并且用户没有使用code,或者用户使用code很晚(黑客都得到用户信息了),这样才会被泄露。