簡體 English 中英

FIWARE-Keyrock：如果OAuth2憑據不控制訪問，為什么它們與應用程序相關？

[英]FIWARE-Keyrock: Why are the OAuth2 credentials related to apps if they do not control access?

原文 2017-03-28 20:55:33 5 1 oauth-2.0/ access-token/ fiware/ identity-management/ fiware-wilma

我們有一種情況，我想使用Wilma PEP代理保護服務X。 服務X在Keyrock中注冊。 Wilma PEP代理包含在Keyrock中為服務X生成的PEP憑據。應用程序Y可以使用為此特定服務生成的正確OAuth2憑據（來自Service X的client_id和client_secret）訪問服務X。 沒關系。 但是有一個問題：應用程序Z還可以使用不同的OAuth2憑據（而不是服務X憑據）訪問服務X！

如果有可能，為什么如果應用程序不控制任何內容，為什么我們要在Keyrock中生成具有特定OAuth2憑據的應用程序？ 它沒有任何意義！

這是一個很大的安全問題，因為一個入侵者可以在Keyrock中注冊某個應用程序，並使用為此特定應用程序生成的令牌（具有其自己的OAuth2憑據），該入侵者可以訪問在此Keyrock實例中注冊的所有應用程序！

1 個解決方案

如您在PEP代理文檔中所見，級別1僅檢查身份驗證。 因此，每個具有有效令牌（即在Keyrock中進行了身份驗證）的用戶都將被重定向到服務器應用程序。 如果還要檢查授權，則必須配置具有基本或高級安全授權級別的AuthZForce服務器。

另一方面，在令牌驗證響應中，您將獲得一個字段application_id，該字段指示您創建令牌的范圍。

FIWARE Keyrock OAuth回調-紅寶石

[英]FIWARE keyrock oauth callback - ruby

OAuth2 客戶端憑據

[英]OAuth2 client credentials

OAuth2和基於角色的訪問控制

[英]OAuth2 and role-based access control

Chrome應用中的Google Oauth2訪問代碼-無效的憑據

[英]Access code for Google Oauth2 in Chrome app - invalid credentials

存儲通過客戶端憑據oauth2流獲得的訪問令牌

[英]Storing access token obtained through client credentials oauth2 flow

如何使用 OAuth2 客戶端憑據流在 Angular 中獲取訪問令牌

[英]How to get an access token in Angular with the OAuth2 client credentials flow

OAuth2用戶憑證授予

[英]OAuth2 User Credentials Grant

使用 postman + oauth2 訪問 Google Apps Admin SDK

[英]Using postman + oauth2 to access Google Apps Admin SDK

OAuth2：客戶端憑據流

[英]OAuth2: Client Credentials flow

我是否需要Oauth2用於我的Web Apps API

[英]Do I need Oauth2 For my Web Apps API

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 FIWARE Keyrock OAuth回調-紅寶石 OAuth2 客戶端憑據 OAuth2和基於角色的訪問控制 Chrome應用中的Google Oauth2訪問代碼-無效的憑據存儲通過客戶端憑據oauth2流獲得的訪問令牌如何使用 OAuth2 客戶端憑據流在 Angular 中獲取訪問令牌 OAuth2用戶憑證授予使用 postman + oauth2 訪問 Google Apps Admin SDK OAuth2：客戶端憑據流我是否需要Oauth2用於我的Web Apps API

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM