¿Por qué usamos Oauth2 en lugar de Basic Auth en la comunicación de servidor a servidor usando SSL?

1

¿Por qué algunos proveedores de API le piden que implemente Oauth2 en la comunicación de servidor a servidor que está disponible solo a través de HTTPS?

En la interfaz (aplicación o aplicación web), Oauth2 es útil para proteger las credenciales del usuario almacenando un token y no las credenciales en el almacenamiento local, el sistema de archivos o las cookies, y si no hay un canal https no es una buena idea pasar las credenciales de cada llamada en lugar del token que se puede revocar o caducar finalmente.

Pero, ¿por qué pasar por el proceso de implementación del lado del servidor oauth2 para comunicarse con otro servidor? Las credenciales se almacenan en el servidor, si hay una violación, bueno, token o no, el canal SSL lo protege de los hombres en el medio y los ataques de repetición. ¿Cómo es este sistema más seguro utilizando outh2 en lugar de la autenticación básica?

Hay una pregunta similar sobre este tema pero sin una respuesta concreta, así que estoy tratando de volver a hablar del tema Oauth2 vs APIKey en una comunicación de servidor a servidor

    
pregunta DomingoSL 22.10.2018 - 11:53
fuente

1 respuesta

0

Tienes razón, no hay un beneficio de seguridad real. La autenticación básica es tan segura si HTTPS es obligatorio. Lo más probable es que sea solo una preferencia, quienquiera que implementó la API decidió confiar solo en Oauth2 en lugar de tener múltiples esquemas de autenticación. Las decisiones de diseño pueden variar mucho de un proyecto a otro y sin conocer sus circunstancias es difícil decirlo.

    
respondido por el user189437 23.10.2018 - 01:06
fuente

Lea otras preguntas en las etiquetas