回复50#cuqk


运营商https劫持的话，客户端浏览器是肯定会报证书错误的，因为运营商那边是不可能有weibo.com的合法证书的。

具体的实现方式我也确实不太了解，之前在微博、hipda、v2ex都有看过运营商替换https证书的讨论

好奇运营商怎么伪造和目标网站一样的证书呢？理论上不可能啊，替换的话会被发现的

麻蛋阿里巴巴上一样一样的 都是这种批量注册的号来发垃圾信息，内容都一样。拉黑到手软。

12306 那个证书你们都装了的吧。装了这个基本都信任了SRCA

这里的client是指三方中的第三方，也是server。 如果你把这个理解成user，那就整个错误了。

随便了
ps.
我写过微博客户端，我自己的多个网站使用OAuth2提供服务，我公司用户级别为千万级的服务也是使用OAuth2提供服务
说这些只是想说，我知道OAuth2的使用方式，上面的回复的图里也很明确地指明access token的使用的地方。client就是客户端，非user，可以是app，也可以是第三方的server，在微博这个场景，client就是微博app。

https://tools.ietf.org/html/rfc6749#page-7

OAuth defines four roles:

resource owner
An entity capable of granting access to a protected resource.
When the resource owner is a person, it is referred to as an
end-user.

resource server
The server hosting the protected resources, capable of accepting
and responding to protected resource requests using access tokens.

client
An application making protected resource requests on behalf of the
resource owner and with its authorization. The term "client" does
not imply any particular implementation characteristics (e.g.,
whether the application executes on a server, a desktop, or other
devices).

authorization server
The server issuing access tokens to the client after successfully
authenticating the resource owner and obtaining authorization.

是不是微博做的不评论，反正没证据
但是我每次遇到这种就举报
连续举报一个月以后我自己账号被禁了
这个总不是运营商给我禁用的吧

来B只会蹭热点

client就是客户端，非user，可以是app，也可以是第三方的server，在微博这个场景，client就是微博app
我并没有认为client是用户，可能你想当然地认为我认为client是用户了。
上面的回复的图里也很明确地指明access token的使用的地方。

client和resource server交互时，就是需要加上access token，access token被拦截也就是发生在这个环节。

resource server
The server hosting the protected resources, capable of accepting
and responding to protected resource requests using access tokens.
在你引用的rfc6749文件里，也是明确地这么写了。