OAuth2資源所有者密碼流安全性
[英]OAuth2 Resource Owner Password flow security
問題描述
使用OAuth2資源所有者密碼流時,不需要客戶端ID和密碼。 因此,是什么阻止了另一個第三方應用程序簡單地向用戶詢問其用戶名/密碼組合並使用相同的流程?
1 個解決方案
解決方案1
0 2014-06-16 17:25:20
IMHO,RFC 6749(OAuth 2.0)和RFC 6819(OAuth 2.0安全性)包含有關令牌端點上的客戶端身份驗證的輕微矛盾。 我的個人結論如下。
授權服務器不應要求公共客戶端將其客戶端憑據發送到令牌終結點,但是實現不能幫助但要求公共客戶端將其Grants-type是任意類型的客戶端ID發送(如果實現要支持refresh_token)。
如果我必須為“資源所有者密碼憑證授予”實現令牌端點,那么我將要求每個客戶端發送其客戶端ID,盡管該規范不要求尚未發布客戶端機密的公共客戶端在資源所有者的令牌端點處進行身份驗證密碼憑證授予。
如何在使用 OAuth2 的資源所有者密碼憑據授予類型時對客戶端憑據保密
[英]How to keep the client credentials confidential, while using OAuth2's Resource Owner Password Credentials grant type
嘗試為Android應用實現OAuth資源所有者密碼流-我可以在數據庫中存儲刷新令牌嗎?
[英]Trying to implement OAuth resource owner password flow for an Android app - can I store refresh tokens in my database?
Vaadin 21 Flow + Spring 安全 OAuth2:找不到“oauth2/authorization/google”的路由
[英]Vaadin 21 Flow + Spring Security OAuth2: Couldn't find route for 'oauth2/authorization/google'
對同一資源使用 Oauth2 或 Http-Basic 身份驗證的 Spring Security
[英]Spring security with Oauth2 or Http-Basic authentication for the same resource
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
Spring安全性Oauth2資源所有者密碼憑證授權
如何在使用 OAuth2 的資源所有者密碼憑據授予類型時對客戶端憑據保密
嘗試為Android應用實現OAuth資源所有者密碼流-我可以在數據庫中存儲刷新令牌嗎?
OAuth2從資源服務器流向另一個
如何使用oAuth2“資源所有者憑證授予” IOS APP?
沒有資源所有者授權的OAuth2隱式授予
安全Oauth 2.0資源所有者密碼憑據授予類型
Vaadin 21 Flow + Spring 安全 OAuth2:找不到“oauth2/authorization/google”的路由
對同一資源使用 Oauth2 或 Http-Basic 身份驗證的 Spring Security
OAuth2流程理解
相關標簽