繁体 English 中英

FIWARE-Keyrock：如果OAuth2凭据不控制访问，为什么它们与应用程序相关？

[英]FIWARE-Keyrock: Why are the OAuth2 credentials related to apps if they do not control access?

原文 2017-03-28 20:55:33 5 1 oauth-2.0/ access-token/ fiware/ identity-management/ fiware-wilma

我们有一种情况，我想使用Wilma PEP代理保护服务X。 服务X在Keyrock中注册。 Wilma PEP代理包含在Keyrock中为服务X生成的PEP凭据。应用程序Y可以使用为此特定服务生成的正确OAuth2凭据（来自Service X的client_id和client_secret）访问服务X。 没关系。 但是有一个问题：应用程序Z还可以使用不同的OAuth2凭据（而不是服务X凭据）访问服务X！

如果有可能，为什么如果应用程序不控制任何内容，为什么我们要在Keyrock中生成具有特定OAuth2凭据的应用程序？ 它没有任何意义！

这是一个很大的安全问题，因为一个入侵者可以在Keyrock中注册某个应用程序，并使用为此特定应用程序生成的令牌（具有其自己的OAuth2凭据），该入侵者可以访问在此Keyrock实例中注册的所有应用程序！

1 个解决方案

如您在PEP代理文档中所见，级别1仅检查身份验证。 因此，每个具有有效令牌（即在Keyrock中进行了身份验证）的用户都将被重定向到服务器应用程序。 如果还要检查授权，则必须配置具有基本或高级安全授权级别的AuthZForce服务器。

另一方面，在令牌验证响应中，您将获得一个字段application_id，该字段指示您创建令牌的范围。

FIWARE Keyrock OAuth回调-红宝石

[英]FIWARE keyrock oauth callback - ruby

OAuth2 客户端凭据

[英]OAuth2 client credentials

OAuth2和基于角色的访问控制

[英]OAuth2 and role-based access control

Chrome应用中的Google Oauth2访问代码-无效的凭据

[英]Access code for Google Oauth2 in Chrome app - invalid credentials

存储通过客户端凭据oauth2流获得的访问令牌

[英]Storing access token obtained through client credentials oauth2 flow

如何使用 OAuth2 客户端凭据流在 Angular 中获取访问令牌

[英]How to get an access token in Angular with the OAuth2 client credentials flow

OAuth2用户凭证授予

[英]OAuth2 User Credentials Grant

使用 postman + oauth2 访问 Google Apps Admin SDK

[英]Using postman + oauth2 to access Google Apps Admin SDK

OAuth2：客户端凭据流

[英]OAuth2: Client Credentials flow

我是否需要Oauth2用于我的Web Apps API

[英]Do I need Oauth2 For my Web Apps API

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 FIWARE Keyrock OAuth回调-红宝石 OAuth2 客户端凭据 OAuth2和基于角色的访问控制 Chrome应用中的Google Oauth2访问代码-无效的凭据存储通过客户端凭据oauth2流获得的访问令牌如何使用 OAuth2 客户端凭据流在 Angular 中获取访问令牌 OAuth2用户凭证授予使用 postman + oauth2 访问 Google Apps Admin SDK OAuth2：客户端凭据流我是否需要Oauth2用于我的Web Apps API

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM