那些遇到过的问题

OAuth2中客户端密钥的目的是什么?

Rob*_*bin 22 security authentication api oauth oauth-2.0

我有一个提供API的应用程序.此应用是OAuth2提供商.

我想使用仅客户端的应用程序访问此API(读取和写入).我正在使用JSO简化这一过程.

它很棒.

问题是,我不必在任何地方输入我的客户机密(我在我的应用程序中注册的应用程序).而且我理解为什么,然后任何人都可以使用它.

所以,如果我可以在没有客户机密的情况下访问我的api,你能解释一下它的用途是什么吗?

Ser*_*nko 12

此讨论提供了一个很好的解释,为什么客户端密钥对于服务器端应用程序比客户端应用程序更重要.摘录:

Web应用程序[服务器端应用程序]使用客户端机密,因为它们代表了巨大的攻击媒介.让我们说有人中毒一个DNS条目并设置一个流氓应用程序"相似",这个并置数据可能几个月没有被注意到,这个中介吸收了大量的数据.客户机密被认为可以缓解这种攻击媒介.对于单用户客户端,妥协必须同时使用一个设备,相比之下这是非常低效的.

Mar*_* S. 10

客户端密钥在OAuth 1.0中用于签署请求,因此它是必需的.某些OAuth2服务器(例如Google Web Server API)要求发送客户端密钥以接收访问令牌(来自请求令牌或刷新令牌).

OAuth 2.0显着降低了客户端密钥的作用,但它仍然传递给使用它的服务器.

  • 好吧,那么不传递它不是安全问题吗? (2认同)

归档时间:

查看次数:

10425 次

最近记录:

11 年,3 月 前
相关归档
如何确保编译器优化不会带来安全风险? 39
为C#评估者提供沙盒应用程序域的最佳证据 11
AWS API Gateway:路由错误 6
法拉第::错误::超时错误(超时::错误): 5
Android 密钥库对称加密的最大明文大小? 5
使用express-jwt作为中间件来验证Azure AD发布的令牌 5
Google OAuth 2 PHP 调用用户信息 4
简单的Injector和默认的AccountContoller依赖性问题 4
Laravel 5.1多重身份验证 4
没有SSL的HTTP上的WCF服务用户名/密码身份验证 0
难疑归档
如何解决Git中的合并冲突 4600
如何将某些内容附加到数组中? 2895
如何在Python中获取当前时间 2618
lodash和下划线之间的差异 1566
ORM(对象关系映射)中的"N + 1选择问题"是什么? 1507
如何有效地计算JavaScript中对象的键/属性数? 1452
在Visual Studio中使用Git 1452
获取JavaScript数组中的所有唯一值(删除重复项) 1273
visibility:hidden和display:none之间有什么区别? 1121
为什么有两种方法可以在Git中取消暂存文件? 1109