我的应用程序本质上是一个无状态代理,它将从服务中获取的一些数据转换为不同的格式,并即时提供给用户。由于数据不是机密的,唯一的身份验证方法将是一个大的、随机的 URL。尽管如此,我需要存储以获取数据的 OAuth 访问令牌确实提供了一些write我希望避免泄漏的功能。
我的问题是使用访问令牌作为 URL 上的公共标识符并只保护secret密钥是否安全,或者我是否应该生成随机 ID 并将它们链接到内部令牌。
问问题
277 次
1 回答
1
根据OAuth 1 规范,访问令牌在接收和访问共享资源时以明文(带有签名请求)的形式传递。因此,只要您不泄露您的任何一个秘密,使用它们作为唯一标识符就不会增加您的攻击风险。
也就是说,控制 URL 的格式可能值得将两者链接在一起。IDP 可能会在某些时候出现您未预料到的格式、长度或唯一性错误,这可能会伤害您。
于 2012-07-19T05:28:31.500 回答