7.8. 钓鱼攻击

该协议和类似协议的广泛部署，可能导致终端用户对于被重定向到其它网站，然后被要求输入密码的做法感到习以为常。如果终端用户不够谨慎，在输入他们的凭据之前，没有验证这些网站的真实性，攻击者就有可能利用这种做法，窃取资源所有者的密码。

服务提供者应该尝试教导终端用户，告知他们钓鱼攻击带来的风险，并且应该提供一种机制，让终端用户能够轻松确认自己网站的真实性。客户端开发者应该考虑与用户代理交互的方式（例如，外部或嵌入式）的安全影响，以及终端用户验证授权服务器真实性的能力。

更多关于减少钓鱼攻击风险的细节，见第 1.5 节。