¿Cuál es la necesidad del tipo de concesión de "contraseña" en OAuth 2.0?

1

La necesidad de OAuth surgió porque queríamos dar acceso a algunos de nuestros recursos en el servidor de recursos (por ejemplo, mi nombre / correo electrónico en Facebook) a las aplicaciones de terceros. Esto justifica varios tipos de subvención.

Pero para la "contraseña" tipo-concesión, la especificación dice que este tipo es adecuado en casos donde el propietario del recurso tiene una relación de confianza con el cliente.

Mi pregunta es ¿cuál es la necesidad de agregar más complicaciones si podemos administrar la aplicación confiable con nombre de usuario / contraseña?

Lo único relevante que puedo encontrar en la especificación es:

  

También se usa para migrar clientes existentes      utilizando esquemas de autenticación directa como HTTP Basic o Digest      autenticación a OAuth mediante la conversión de las credenciales almacenadas en un      token de acceso.

Si esta es la única razón, ¿cómo me afectaría si utilizara la autenticación directa con "aplicaciones de confianza"?

    
pregunta Akeshwar Jha 26.04.2017 - 21:06
fuente

1 respuesta

1

Lo primero es que debemos tratar de evitar el tipo de concesión de contraseña tanto como sea posible. Pero la razón por la que está ahí es porque es mejor que almacenar la contraseña.

Razones: La concesión de contraseña no necesita que el usuario almacene su contraseña de nombre de usuario en el cliente. Se usa solo una vez para obtener el token de acceso.

  1. Almacenar solo el token es seguro que almacenar la contraseña en una aplicación externa (aplicaciones móviles, aplicaciones del lado del servidor, etc.)
  2. Si el usuario cambia la contraseña en el IDP, la aplicación deberá pedirle nuevamente que ingrese su nueva contraseña. Esta no es una buena experiencia de usuario. Pero en el tipo de concesión de contraseña, la aplicación puede usar el token de actualización incluso cuando el usuario ha cambiado la contraseña.
respondido por el SureshAtt 26.04.2017 - 22:03
fuente

Lea otras preguntas en las etiquetas