¿Diseñar una aplicación web que use OAuth, pero con tokens que el operador no pueda usar?

Navega tus respuestas
6

Me gustaría crear una aplicación web que permita a los usuarios OAuth with Stack Exchange , para que puedan realizar Acciones como votar a través de la aplicación.

Sin embargo, estoy atascado en un punto: sé cómo realizar OAuth, pero muchos usuarios no quieren OAuth con mi aplicación si puedo buscar en la base de datos y tomar sus credenciales, y posiblemente hacer cosas malas ellos.

¿Hay alguna manera de hacer una aplicación web de OAuthing que no me permita (al operador) hacer cosas malas con los tokens?

    
pregunta Undo 11.02.2014 - 19:22
fuente

1 respuesta

1

Dado que la granularidad de alcance autorizada por la API de StackOverflow se detiene en el nivel de "escritura", no es posible restringir los privilegios autorizados solo para votar.

Los usuarios simplemente tendrán que confiar en ti. Siempre pueden revocar su permiso a través de la aplicación en línea, por lo que podrían limitar cualquier daño que pueda hacer (o alguien que comprometa tokens actualmente activos).

Si desea mejorar su seguridad contra los atacantes, puede soltar tokens que no se han utilizado en mucho tiempo (incluso si no están vencidos) para limitar cualquier daño. Lo único en lo que puedo pensar es implementar correctamente las conexiones seguras cuando se trata de tokens.

    
respondido por el Daisetsu 11.02.2014 - 22:54
fuente

Lea otras preguntas en las etiquetas

¿El protocolo HTTPS filtra la longitud del cuerpo HTTP? Detectar Pass-the-Hash