¿Debe el OAuth client_id ser confidencial?

Question

¿Debe el OAuth client_id ser confidencial?

#1 de Oldskool (1 votos)

0

Quiero que el propietario de mi servidor de autorización OAuth muestre (información sobre) los clientes que se han registrado. ¿Está bien usar client_id como identificador público del cliente o debería ser también confidencial client_id (como client_secret )? También compartiría metadatos del cliente client_name y client_uri para mostrar una lista de clientes registrados pero estos no son problemáticos. Claro que podría agregar otro direccionamiento indirecto gestionando una asignación interna entre los ID de clientes públicos y client_id pero, ¿es esto realmente necesario desde el punto de vista de la seguridad?

oauth

pregunta Jakob 03.02.2016 - 09:31

fuente

1 respuesta

Lea otras preguntas en las etiquetas oauth

P: ¿Qué le sucedió a socat? Evitar que una página web sea golpeada desde otro servidor

score 1 · Accepted Answer

Su client_id es como su nombre de usuario o dirección de correo electrónico que utiliza para autenticar su aplicación / servicio a OAuth. No es exactamente de alto secreto, pero ponerlo en el dominio público también puede ser indeseable.

Especialmente si vas a combinarlo en una lista junto con client_name y redirect_uri , se vuelve un poco peligroso. Debido a que está distribuyendo prácticamente toda la información del cliente, podría convertirse en una lista interesante para los atacantes. Si desean apuntar a alguna de las aplicaciones / servicios en su lista, ya tienen mucha información y solo necesitan "descifrar" el secreto para identificarse como su cliente. Por supuesto, descifrar el secreto no debería ser una tarea muy fácil, pero básicamente estás regalando información gratuita que normalmente no es parte del dominio público.

Le aconsejo precaución cuando decida continuar con esto, como no tener páginas / listas como esta indexadas por los motores de búsqueda (si es una lista en línea), almacenadas en una carpeta pública en la red de su casa / empresa (si es una lista digital) o está en tu escritorio (cuando se trata de una lista física).