¿Por qué OAuth2 exige credenciales de cliente en un encabezado de autorización?

Question

¿Por qué OAuth2 exige credenciales de cliente en un encabezado de autorización?

#1 de Ben (2 votos)
#2 de ko la (0 votos)

5

En la sección 2.3.1 del Marco de Autorización OAuth 2.0, indica:

El servidor de autorización DEBE admitir la autenticación HTTP básica esquema para autenticar a los clientes a los que se les emitió una contraseña de cliente.

Continúa diciendo:

La inclusión de las credenciales del cliente en el cuerpo de la solicitud utilizando los dos parámetros NO SE RECOMIENDA y DEBE estar limitada ...

¿Por qué es que including the client credentials in the request-body using the two parameters is not recommended ?

Puedo pensar en cualquier razón. Si es lo suficientemente bueno para que la credencial del usuario esté en texto sin formato en el cuerpo de la solicitud, ¿por qué no es lo suficientemente bueno para las credenciales del cliente? Las credenciales del cliente todavía están en texto sin formato a pesar de la codificación requerida por la autorización básica. ¿Me estoy perdiendo algo?

oauth

pregunta Adrian Toman 14.12.2013 - 10:24

fuente

2 respuestas

Lea otras preguntas en las etiquetas oauth

¿Los motores de búsqueda verifican los certificados HTTPS y, de ser así, con qué CA? XSS a través de PDF cuando Contenido-Disposición: ¿Inline?

score 2 · Answer 1

Una posible razón es que los parámetros de solicitud generalmente están disponibles para la aplicación web, mientras que, dependiendo de la plataforma, el servidor HTTP puede eliminar la contraseña utilizada para la autenticación básica del conjunto de variables del servidor HTTP para evitar que esté disponible para semi Aplicaciones confiables.

score 0 · Answer 2

Posiblemente para evitar procesar el cuerpo de la solicitud en caso de una autenticación sin éxito, por ejemplo. error 401 .

Sin embargo, no estoy seguro de cómo puede ser diferente al caso general de POSTing de credenciales de usuario. Excepto quizás (en el contexto de OAuth 2.0 / OIDC) el punto final del token es potencialmente conocido / visible.