我可能混淆了概念,但我一直在web2py Google Group上讨论他们应该实现摘要身份验证。
使用 OAuth2,我认为 auth-key 应该被散列并且只在身份验证领域内发送。
如果有所不同,我使用 JavaScript 客户端,接口使用 JSONRPC 服务器端公开,OAuth2 使用 Facebook 完成。
我应该在摘要领域内协商 OAuth2 吗?
问问题
294 次
1 回答
3
你把事情搞糊涂了——OAuth 中没有摘要领域的概念。也没有“身份验证密钥”之类的东西。您拥有的是一个身份验证令牌,它代表您已由用户/实体颁发的声明。
由于令牌代表 [client_id, user, scope, expiration] 元组,因此它不能用于生成哈希,因为该哈希将无用 - 资源服务器无法对所有可能的组合进行哈希以找到匹配项。
如果您想要传输安全性,只需使用 SSL(不考虑具有有效证书的 MiTM 攻击等)。
也就是说,当攻击者已经能够拦截您的流量时,使用摘要保护凭据(令牌)是毫无用处的......
此外,为 OAuth2 背后的故事添加一些内容 - 它如此简单的原因(依靠 SSL 进行保护)是几乎每个人都可以管理的东西。
事情越复杂,出错的几率就越高。
于 2012-07-20T03:19:41.320 回答