oauth y pasar toking recibido a otra aplicación

2

Un proveedor de software externo está hospedando un sitio web para nosotros. Suministramos la funcionalidad de inicio de sesión a través de una api de restfull (inicio de sesión / contraseña a través de ssl). Pero el sitio web también es el cliente para el recurso OAuth al que puede acceder. Esto implicaría que el usuario del sitio web que ya está iniciando sesión con sus credenciales del sitio web debe iniciar sesión nuevamente en el recurso OAuth.

Nos gustaría hacerlo fácil para el usuario. Entonces, ¿cuáles son las opciones para no hacer un inicio de sesión doble?

Como entiendo que OAuth es correcto, no es una buena idea almacenar el token. Entonces, ¿es posible con cada inicio de sesión de api de Restfull también hacer un inicio de sesión de OAuth y pasar el token al sitio web?

    
pregunta progressdll 15.10.2013 - 15:04
fuente

1 respuesta

3

Un usuario puede iniciar sesión una vez y usar OAuth, y este token se puede usar para acceder a un recurso de terceros. Este diseño es común, especialmente para aplicaciones web que desean acceder a la API de Facebook.

Como pentester, encuentro que casi todos los implantes de OAuth infringen al menos uno de los requisitos de seguridad RFC de OAuth. Es como si los desarrolladores ya ni siquiera estuvieran leyendo RFC * jadeo *.

RFC-5839 sección 4.5 indica que es aceptable almacenar el secreto compartido y el token de OAuth, siempre que ya que no se almacenan en texto plano. Se prefiere el hash de las credenciales, sin embargo, este token puede cifrarse y recuperarse sin presentar una amenaza de seguridad importante o violar un requisito de seguridad RFC.

    
respondido por el rook 15.10.2013 - 18:38
fuente

Lea otras preguntas en las etiquetas