detalle sospechoso de la implementación de oauth2 en la API de Facebook

2

en RFC 6749 El marco de autorización OAuth 2.0

2.3.1. Client Password definitivamente establece que la autenticación en TokenEndpoint se puede hacer de dos formas alternativas

  1. Autenticación básica de HTTP - ID de cliente: client_secret
  2. en el cuerpo de la solicitud POST, client_id = {client_id}, client_secret = {client_secret}

Mientras que la API de Facebook exige una solicitud de obtención con parámetros codificados de URL:

    GET https://graph.facebook.com/oauth/access_token?
    client_id={app-id}
    &redirect_uri={redirect-uri}
    &client_secret={app-secret}
    &code={code-parameter}

¿No es esto (forma no estándar compatible) la exposición de las contraseñas de los clientes en la lógica de seguridad de ruptura de URL de AUTH2? ¿Y abriendo puertas a las vulnerabilidades?

    
pregunta nsb 13.08.2014 - 16:22
fuente

0 respuestas

Lea otras preguntas en las etiquetas