¿Por qué la especificación OAuth2 recomienda que no se pasen las credenciales del cliente en el cuerpo de la solicitud?

2

La especificación OAuth 2.0 indica que al autenticar con una contraseña de cliente, puede pasar client_id y client_secret usando:

  • el encabezado Authorization , utilizando el esquema de autenticación HTTP básico, OR;
  • el cuerpo de la solicitud.

La especificación recomienda no usar el cuerpo de la solicitud, indicando que este método debe limitarse solo a aquellos clientes que no pueden usar el esquema de autenticación HTTP básico.

enlace

¿Cuál es la razón de esta recomendación?

    
pregunta John Grimes 21.09.2016 - 09:37
fuente

1 respuesta

1

Ambos métodos son aceptables, lo más probable es que sean compatibles con las implementaciones existentes en el momento en que se utilizó uno u otro.

Sin embargo, solo los servidores de autorización hicieron obligatoria la autenticación HTTP Basic, por lo que agregar la recomendación adicional de no usar el opcional probablemente fue pensado para que todos usen el mismo método.

En relación con el motivo por el cual la decisión dependió de HTTP Basic y no del cuerpo de la solicitud, diría que el hecho de que la historia de OAuth 2.0 incluya vínculos con OAuth WRAP es un factor decisivo.

Como información adicional:

  

El uso del encabezado de Autorización es RECOMENDADO, ya que las implementaciones de HTTP son conscientes de que los encabezados de Autorización tienen propiedades de seguridad especiales y pueden requerir un tratamiento especial en cachés y registros .

(fuente: perfiles de autorización de recursos web de OAuth (OAuth WRAP) )

  

Los encabezados de autorización son reconocidos y tratados especialmente por HTTP   proxies y servidores. Así, el uso de dichos encabezados para enviar   Los tokens de acceso a los servidores de recursos reducen la posibilidad de fugas.   o almacenamiento no deseado de solicitudes autenticadas en general, y   especialmente los encabezados de autorización.

(fuente: Modelo de amenazas de OAuth 2.0 y consideraciones de seguridad (RFC 6819) )

    
respondido por el João Angelo 25.11.2016 - 16:53
fuente

Lea otras preguntas en las etiquetas