2011-08-18 20 views
7

Per quanto ne so, lo standard OAuth è molto lassista su come OAuth in realtà dovrebbe comportarsi, ma ...OAuth token di sicurezza

devo conservare token di accesso OAuth per vari servizi OAuth in un database. Se questi token fossero stati compromessi, potrebbero essere utilizzati da una terza parte? Ad esempio, i token dati sono associati solo alle mie API e alle chiavi segrete?

+0

Cosa intendi per indirizzo? I token sono legati a un determinato servizio e utente. Con quelli, si può fingere di essere quell'utente. – Thilo

+0

Intendevo l'indirizzo IP. Ma cosa avrei dovuto veramente volere, potevano essere usati con API e chiavi segrete diverse? Modificherò la domanda. –

risposta

6

I token sono legati a un determinato servizio e utente. Con quelli, si può fingere di essere quell'utente. Ad esempio, non è legato ad alcun indirizzo IP o dispositivo UUID (sebbene si possa fare ciò come precauzione aggiuntiva, ma questo non fa parte di OAuth).

Se fossero stati compromessi, li avresti annullati, rendendoli inutili.

potrebbero essere utilizzati con API e chiavi segrete diverse?

No. I token di accesso sono anche legati all'applicazione per cui sono stati rilasciati.

In questo modo l'utente può de-autorizzare su una base di applicazione, e ogni app può avere un diverso insieme di autorizzazioni (ad esempio, accesso in sola lettura).

Problemi correlati