¿Hay alguna necesidad de oauth (2 patas) en https?
https://stackoverflow.com/questions/8846213
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
¿Hay alguna necesidad de OAuth (2 patas) en HTTPS? En el escenario de 3 patas usamos OAuth para fines de delegación. Pero cuál es el propósito de OAuth (2 patas) sobre HTTPS.
En mi escenario soy consumidor y también usuario, por lo que no necesito autorización y uso HTTPS, HTTPS no es repetible y también es un canal seguro. lo que dices deberías usar ouath
No estoy hablando de 3 patas o http
Solución
Según la especificación de OAuth, Sección 11.3,
Si bien OAuth proporciona un mecanismo para verificar la integridad de las solicitudes, no proporciona garantía de la confidencialidad de la solicitud. A menos que se tomen más precauciones, Eavesdroppers tendrá acceso completo para solicitar contenido. Los proveedores de servicios deben considerar cuidadosamente los tipos de datos que probablemente se enviarán como parte de tales solicitudes, y deben emplear mecanismos de seguridad de las capas de transporte para proteger los recursos delicados.
Está claro que si su solicitud no tiene datos seguros, por ejemplo, user_id = 2 & MessageID = 33, entonces no hay necesidad de HTTPS, pero en un escenario de 2 patas, donde está pasando la contraseña al obtener el token de acceso, debe usar HTTPS En ese tiempo.
En ambos casos, ya sea de 2 patas o de 3 patas, la regla es, cuando está actualizando/obteniendo datos seguros (por ejemplo, actualización de la tarjeta de crédito, pagos, contraseñas), debe usar HTTPS.
