1

实施 OAuth2 提供程序时存储客户端凭据的最佳做法是什么?

如果我决定每次客户端请求一个新的我发出一个新的,我可以将 access_token/refresh_token/auth_code 存储为盐渍哈希(就像密码一样)。但在 client_secret 的情况下,我需要能够在应用注册页面上的 client_id 上显示它,所以我不能只保留哈希。

谢谢!列夫

4

1 回答 1

1

使用机器生成的客户端密码只是验证客户端应用程序的众多方法之一。我认为这是您想在服务中使用的内容。在这种情况下,您已经回答了您的问题,只要您希望能够随时将其传达给应用程序开发人员,就必须以纯文本形式存储该秘密。

如果这对您来说不可接受,请考虑选择不同的解决方案,例如让开发人员像使用密码一样设置秘密,并且永远不要存储明文;或使用像MAC这样的私钥/公钥对认证方案。

于 2012-10-18T15:17:50.370 回答