Un método para generar identificadores de cliente no adivinables

Navega tus respuestas
0

Estoy implementando un servidor de autorización OAuth 2.0. Como parte del proceso de registro del cliente, quiero generar el identificador de cliente único para este cliente.

El método que elegí es tomar toda la información de registro del cliente y procesarla usando SHA-512. La información del cliente incluye:

  1. contraseña del cliente (enmascarada usando bcrypt)
  2. tipo de cliente
  3. nombre del cliente
  4. sitio web del cliente uri
  5. nombre de la aplicación
  6. url para imagen de logotipo
  7. descripción del cliente
  8. redirigir uri
  9. bandera de aceptación de términos y condiciones legales
  10. registro de bandera activa
  11. crear marca de hora // cuando el cliente se haya registrado
  12. actualizar marca de hora
  13. marca de tiempo desactivada

Mi pregunta es si es seguro incluir la contraseña cifrada al generar el resumen de SHA y si esta es una forma segura de producir un identificador de cliente único.

    
pregunta Mika'il 09.11.2018 - 14:43
fuente

1 respuesta

1

OAuth documentación indica que los identificadores de clientes son públicos y simplemente deben Ser único para todos los clientes de ese servidor de autorización. También aconsejan que la identificación no sea fácil de adivinar para disminuir los ataques de phishing.

El método que propuso es válido, pero no proporciona ninguna seguridad adicional sobre un número generado aleatoriamente.

El secreto del cliente es la parte que tiene que ser criptógicamente segura.

    
respondido por el Daisetsu 09.11.2018 - 21:09
fuente

Lea otras preguntas en las etiquetas

dnsspoof no falsifica la solicitud de DNS con la dirección IP de la máquina local ¿Intentos de inyección de carga útil de CentOS? [duplicar]