Para la comunicación de máquina a máquina (incrustar otras aplicaciones en aplicaciones, etc.) a menudo enfrentamos el problema de que el sitio que estamos incrustando requiere un nombre de usuario y una contraseña para autenticarse. El problema es que el nombre de usuario y la contraseña deben enviarse en texto sin formato, por lo que, como no hay intervención humana, deben almacenarse en texto sin formato (en reposo).
Entonces, después de discutir auth (por ejemplo, auth0) solo queríamos verificar nuestra comprensión.
-
¿Es la adición del servidor de autorización (y los beneficios de los tokens, etc.) lo que hace que un usuario sea preferencial a los nombres de usuario y las contraseñas? Desde una perspectiva de "seguridad en reposo", ¿auth no es diferente a almacenar un nombre de usuario y contraseña en texto sin formato, en lugar de almacenar una identificación de cliente y un secreto en texto sin formato?
-
¿Puede alguna vez mantener a un cliente en secreto seguro en reposo si tiene que ser usado programáticamente (por lo que no se puede hacer picadillo, salado, etc.)?