为什么在 OAUTH 中未加密返回令牌秘密?

【问题标题】:Why token secret is returned unecrypted in OAUTH?为什么在 OAUTH 中未加密返回令牌秘密?
【发布时间】:2011-08-10 02:21:36
【问题描述】:

我对 OAUTH 系统中的“密钥”(或“令牌”)的理解就像一个“用户名”来识别发件人,它不是机密的,但“秘密”实际上就像一个“密码”。

但是在阅读http://oauth.net/core/1.0/#signing_process 上的 OAUTH 1.0 规范时,我觉得当 consumer 询问 服务提供商 对于令牌(请求令牌或访问令牌),令牌和令牌机密以 PLAIN(仅 base-64 编码)文本作为 HTTP 响应返回。

在搜索网页后,它看起来并非所有情况,“请求令牌 URL”是 HTTP 而不是 HTTPS,这意味着 第 3 方可能会拦截令牌和令牌秘密

所以到目前为止我错了吗?我知道即使是第 3 方拦截了令牌秘密,它仍然没有用,因为消费者(或任何声称作为消费者的一方)的任何请求都必须使用第 3 方通常不知道的消费者密钥(加上令牌秘密)进行签名,但是随后为什么我们需要令牌秘密呢?

【问题讨论】:

    标签: oauth


    【解决方案1】:

    虽然允许使用http,但推荐(见附录B.1)使用安全传输(https),否则你的担心是有道理的。我确信 Google 允许在其所有 OAuth 交易中使用 https://,至少在获取令牌和机密方面,以及对于我迄今为止尝试过的所有 API 数据请求。

    【讨论】:

    • 谢谢,还有一个愚蠢的问题——知道为什么 OAUTH 不使用消费者密码来加密令牌密码吗?由于令牌/令牌秘密大小不大,这似乎不会给服务提供商增加太多负担。
    • 好点。但是,oauth2 甚至使签名成为可选的,因此 TLS 是唯一使用的安全性。根据我所读到的,更多有安全意识的人被排除在 OAuth 决策之外。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2023-04-07
    • 1970-01-01
    • 2012-04-28
    • 2013-06-13
    • 2011-03-18
    • 2016-03-15
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode