abbiamo assicurato il nostro server REST con OAuth2 e attuato la credenziali del client tipo di sovvenzione per diverse applicazioni client che controlliamo. Ora ci troviamo di fronte alla decisione di rendere i token longevo (vale a dire che scadono "mai") o di avere i client reautentati molto spesso (a seconda della scadenza del token di aggiornamento). Il primo significa che un token catturato può essere usato da una parte malintenzionata, il secondo significa esponendo il client secret molto spesso, che a sua volta può essere utilizzato per ottenere token.OAuth2 - vissuto a lungo Gettoni vs Reauthentication in credenziali client a flusso
Quale è più sicuro in un server-risorsa per l'autenticazione client-server? Sia il token che il client secret possono essere invalidati se sospettiamo un furto. Ovviamente tutte le comunicazioni vengono effettuate tramite https ..
Attualmente stiamo pensando che il segreto del client sia più potente del token e quindi un token longevo dovrebbe essere migliore per questo scenario a due gambe. (Per qualsiasi tipo di concessione a tre vie che implementeremo presto preferiremmo un token di breve durata che agisca come sessione utente).
Grazie per i vostri pensieri!
Grazie per la risposta. Probabilmente andremo con il token longevo, aggiungendo un livello di Persistenza, in modo da poter invalidare il token di volta in volta. Ma ci sono altre due domande che la tua risposta ha sollevato. Per la leggibilità li aggiungerò al mio post. Apprezzerei i tuoi pensieri su quelli. – Pete
non importa, ho appena risposto alle mie domande io stesso;;) – Pete