Y at-il besoin d'OAuth (2 pieds) sur HTTPs
https://stackoverflow.com/questions/8846213
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Y at-il besoin d'OAuth (2 pieds) sur HTTPs. Dans le scénario 3 pattes, nous utilisons OAuth à des fins de délégation. mais ce qui est le but de OAuth (2 pieds) sur https.
Dans mon scénario, je suis consommateur et également à l'utilisateur, donc pas besoin d'autorisation et j'utilise https, https n'est pas rejouable et aussi un canal sécurisé. ce que tu devrais-je dire utiliser ouath
Je ne parle pas 3 pattes ou http
La solution
Selon la spécification OAuth section 11.3 ,
Alors que OAuth fournit un mécanisme permettant de vérifier l'intégrité des demandes, il ne fournit aucune garantie de confidentialité de la demande. Sauf si d'autres précautions sont prises, les oreilles indiscrètes auront accès à le contenu de la demande. Les fournisseurs de services devraient examiner attentivement les types des données susceptibles d'être envoyées dans le cadre de ces demandes, et employer les mécanismes de sécurité de couche de transport pour protéger les ressources sensibles.
Il est clair que si votre demande ne dispose pas de données sécurisées par exemple user_id = 2 & messageId = 33, qu'il n'y a pas besoin de https, mais dans 2 pattes scenerio, où vous passez votre mot de passe tout en obtenant un jeton d'accès, vous devez avoir utiliser https à ce moment-là.
Dans les deux cas, soit 2 pattes ou 3 pattes, la règle est, lorsque vous êtes mise à jour / récupérer des données sécurisées (par exemple carte de crédit updation, paiements, mots de passe), vous devez avoir à utiliser https.
