¿OAuth significa efectivamente permitir que una aplicación haga todo como yo?

6

Algunos proveedores de OAuth (como Google o Facebook) solo otorgan privilegios limitados a las aplicaciones de terceros, y se expresan claramente en la página de autorización. Por ejemplo, dicen que una aplicación puede ver quién eres y tu lista de amigos, pero no publicar en la pared. Y así sucesivamente.

Sin embargo, no todos los proveedores lo hacen. Con algunos de ellos, una vez que un usuario autoriza la aplicación y el proveedor emite el token, aparentemente puede hacer cualquier cosa . El consumidor solo puede guardar el token y hacer lo que quiera como ese usuario - por años (como es el caso con JIRA) a menos que el usuario lo revoque explícitamente.

¿Esto es correcto? ¿Cómo lidiar con esta locura, si una API permite que aplicaciones de terceros lo personifiquen por completo sin límites?

Pieza relevante de documentos de Atlassian (para el ejemplo de JIRA): enlace

    
pregunta Konrad Garus 30.10.2015 - 11:01
fuente

1 respuesta

2

Sí ... si le das permiso para hacerlo.

Un token de acceso OAuth tiene tanta potencia como usted lo da. Por lo general, se le pregunta cuánto privilegio desea otorgar a través de ese token de acceso en el momento de iniciar sesión con el proveedor de OAuth. Si decide dar acceso completo a todo, entonces, sí, la aplicación que recibe el token de acceso puede hacer cualquier cosa como si fuera usted.

Es similar a darle un juego temporal de llaves de tu casa a un completo desconocido que te encuentres en la carretera. Aún así, la salvación es que es temporal (generalmente) y que puedes revocarlo. De esa manera, OAuth sigue siendo mucho mejor que simplemente dar su nombre de usuario / contraseña a una aplicación de terceros cuando desea que acceda a su información.

OAuth aún protege su contraseña y la aplicación de terceros es casi siempre más limitada en lo que puede hacer con un token de acceso que si tuviera su contraseña real. Aquí es donde OAuth brilla y por qué fue creado; dando acceso limitado a su información privada por un período de tiempo limitado con su consentimiento (y con frecuencia su capacidad de revocar ese acceso).

Conclusión

Al final del día, si decide confiar en una aplicación maliciosa, no hay nada que pueda salvarlo. PERO, confiar en una aplicación maliciosa a través de OAuth es mucho mejor que darle su contraseña.

    
respondido por el Gudradain 30.10.2015 - 14:35
fuente

Lea otras preguntas en las etiquetas