OAuth: credenciales de cliente vs tokens

2

¿No sería mucho más simple y prácticamente seguro reemplazar los tokens por credenciales de cliente puras?

Las credenciales del cliente no caducarán y los propietarios de los recursos siempre podrán modificar su matriz de control de acceso para revocar cualquier privilegio en cualquier momento.

    
pregunta Lay González 23.02.2013 - 23:18
fuente

1 respuesta

3

En ese caso -

  1. Las credenciales del cliente deben enviarse con cada solicitud a cada aplicación / sistema del lado del servidor que pueda presentar recursos.
  2. No habrá caducidad ni limitación de alcance en ninguna sesión específica.
  3. Sería como una autenticación básica heredada, con todos sus inconvenientes y beneficios (simplicidad)

En el flujo de credenciales del cliente de OAuth, 'cliente' se refiere a una aplicación cliente y no necesariamente al propietario del recurso (usuario final). En algunos casos, al igual que las aplicaciones móviles, ambas son casi iguales, ya que generalmente hay un solo usuario del cliente. Por lo tanto, para una aplicación simple, reemplazar un token de acceso enviando repetidamente las credenciales del cliente puede ser un sustituto adecuado. Sin embargo, para cualquier aplicación distribuida donde las API y los recursos se distribuyen a través de diferentes dominios / servidores / aplicaciones, tener un punto final central de token es más escalable y más seguro simplemente por el hecho de ser un solo punto.

Si bien Facebook tiene OAuth de dos etapas para usuarios finales (propietarios de recursos) que usan aplicaciones (clientes) de Facebook, Facebook proporciona tokens de acceso a las aplicaciones de Facebook a través del flujo de trabajo de las credenciales del cliente de OAuth.

    
respondido por el Akber Choudhry 24.02.2013 - 00:58
fuente

Lea otras preguntas en las etiquetas