Historial impar del flujo de dispositivos OAuth 2

16

El flujo de dispositivos OAuth 2 tiene un historial impar. Se encuentra en versiones anteriores de la RFC, pero luego se retiró aparentemente sin una explicación Lo podría encontrar. Recientemente, se propuso un nuevo borrador para reintroducirlo de forma independiente.

  

El flujo de dispositivos es adecuado para clientes que se ejecutan en dispositivos que sí lo hacen      no tiene un método de entrada de datos fácil y donde el cliente es incapaz      de recibir solicitudes entrantes del servidor de autorizaciones      (incapaz de actuar como un servidor HTTP).

Los otros flujos no cubren el escenario abordado por el flujo del dispositivo, por lo que tiene utilidad. Google lo admite y tiene un ejemplo de ello en acción. ¿Alguien puede arrojar alguna luz sobre por qué se eliminó el flujo de dispositivos del OAuth 2 standard ? ¿Hay algún problema de seguridad que debamos conocer?

    
pregunta HTLee 15.06.2016 - 04:10
fuente

1 respuesta

2

Debería responder a mi propia pregunta después de encontrar el motivo: el flujo del dispositivo se eliminó de la especificación OAuth 2:

  

debido a la falta de experiencia en implementación suficiente en ese momento

Cita de Apéndice A: Agradecimientos: borrador de flujo de dispositivo IAF OAuth # 01 .

El flujo de dispositivos es un lugar bastante común en estos días. Algunas aplicaciones (por ejemplo, HBO GO) en dispositivos de medios (por ejemplo, Roku) parecen utilizar el flujo de dispositivos, donde el dispositivo en el que se está conectando se desacopla de donde está ingresando sus credenciales. P.ej. al configurar la aplicación HBO GO en Roku, me piden que ingrese un código, que obtengo al iniciar sesión en el sitio hbogo desde el navegador de mi computadora portátil.

    
respondido por el HTLee 16.01.2018 - 22:23
fuente

Lea otras preguntas en las etiquetas