¿Cómo es OAuth2 seguro frente a ataques de intermediario?

0

Actualmente estoy investigando sobre cómo proteger las llamadas internas de la API y me interesé en la firma de solicitudes, ya que parece bastante seguro (usar un secreto que no enviarás a nadie para firmar tu solicitud es bastante seguro).

Mi problema es que la mayoría de los servicios de puerta de enlace API ofrecen mecanismos OAuth2. Tengo serias dudas sobre su seguridad.

¿Alguien puede explicar si es realmente seguro enviar sus credenciales para obtener un token y usarlo en un encabezado Authorization ?

No puedo evitar sentir que cualquier persona que pueda obtener con éxito la información de la primera solicitud tendrá todo lo que necesita para hacerse pasar por futuras llamadas a la API.

    
pregunta Alvaro 15.01.2016 - 12:59
fuente

1 respuesta

4

Usted roza una parte importante del estándar OAuth2.

Es decir, todo el acceso está vinculado a IP y está limitado en el tiempo. (como en x minutos). Después de eso, debe solicitar un nuevo token a través del mecanismo de autenticación.

Otra parte del estándar in situ para protegerse contra las escuchas ilegales es que todos los proveedores de Acceso OAuth2 DEBEN implementan una conexión TLS o SSL. (no se permite HTTP).

Pero tiene razón en que si alguien puede realmente escuchar la conexión completa desde el principio (como en la primera autenticación con el proceso completo de autenticación y autorización) tiene toda la información para conectarse al servicio desde su IP.

Sin embargo, esto es lo mismo si usted iniciaría sesión directamente en el servicio.

    
respondido por el LvB 15.01.2016 - 14:12
fuente

Lea otras preguntas en las etiquetas