访问令牌机器的可移植性
[英]Access Token machine portability
问题描述
我正在开发使用访问令牌进行验证和验证的REST API。
在一种情况下,用户可以通过提供适当的凭据来获取访问令牌,并使用来自另一台计算机的相同访问令牌来访问任何REST API。
我只是想检查允许这种情况是否有不利之处?
2 个解决方案
解决方案1
1 2016-02-25 19:50:31
假设我们正在谈论OAuth 2.0:它实际上取决于访问令牌的类型:任何拥有它的客户端都可以使用所谓的Bearer访问令牌。 如今,大多数OAuth 2.0部署中都使用了承载访问令牌。
正在出现其他类型的访问令牌(所谓的所有权证明令牌),要求客户证明它们确实是预期的演示者。 在那种情况下,仅将访问令牌放在另一台计算机上是不够的。 在更高级的新兴方案中(“令牌绑定”),令牌可能会绑定到TLS连接,因此它永远不会被另一个客户端或另一个连接使用。
但是,正如所说的那样,对于当今大多数OAuth 2.0部署而言,可以使用来自另一台计算机的Bearer访问令牌。
解决方案2
0 2016-02-25 17:45:40
访问令牌应由服务器签名,并且不应包含有关用于访问它的特定客户端/机器的任何信息。
例如,在OAuth 2.0密码授予流程中,用户名/密码被交换为访问令牌。 令牌由发行令牌服务器签名,代表用户的身份验证和授权声明。 用户从哪台计算机发出请求没有区别。
因此, tl; dr-是的,访问令牌可在机器之间移植。 这不是典型的用例(访问令牌将如何从一台计算机转移到另一台计算机?),但这是完全有效的。
使用访问令牌获取访问令牌?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.