服务器是否只能将临时凭证"升级"为令牌凭据并保留相同的密钥和密钥?
然后,客户端可以在收到来自服务器的回调后立即开始进行经过身份验证的呼叫,并说明临时凭证已"升级".
如果临时凭证尚未升级(即客户端不等待回调),则认证呼叫失败.
所以问题是为什么在回调"交换"令牌凭证的临时凭证后对服务器进行额外调用?
npd*_*oty 10
您可以通过这种方式实现OAuth,但据我了解,将请求令牌与访问令牌分开确实提供了额外的安全层.
从初学者指南:
OAuth包括两种令牌:请求令牌和访问令牌.每个令牌在OAuth委派工作流程中都有非常特定的角色.虽然这主要是关于OAuth规范如何演变的工件,但是双令牌设计提供了一些可用性和安全性功能,这使得保持在规范中是值得的.OAuth在两个渠道上运作:用于吸引用户和请求授权的前台频道,以及消费者用于直接与服务提供商互动的后台频道.通过将访问令牌限制到反向通道,令牌本身仍然隐藏在用户之外.这允许访问令牌具有特殊含义并且具有比请求授权时暴露给用户的前通道请求令牌更大的尺寸,并且在某些情况下需要手动输入(移动设备或机顶盒) .
因此,据我了解,通过将访问令牌直接限制在消费者(您的服务)和提供者(您正在获得访问的服务)之间的通道,您可以获得安全的访问令牌(即,一个即使用户的计算机或用户与您的服务的网络连接受到威胁,攻击者也没有.如果只是升级请求令牌,那么任何嗅探用户网络连接的人都可以轻松获得请求/访问令牌,我们宁愿保密,因为它可以被使用(当然还有您的消费者令牌),可能是很长一段时间,访问用户的数据.服务器到服务器的连接通常更安全.
另外,正如上面所指出的,这可以让你在需要用户输入请求令牌的情况下拥有更长的密钥(因此可能非常短).
| 归档时间: |
|
| 查看次数: |
2191 次 |
| 最近记录: |