Есть ли потребность в oauth (2-й ноги) на HTTPS

Question

Есть ли необходимость в OAuth (2 ногах) на HTTPS. В сценарии с 3 ногами мы используем OAuth для цели делегирования. Но какова цель OAuth (2-й ноги) над HTTPS.

В моем сценарии я потребитель, а также пользователь, поэтому не нуждается в авторизации, и я использую HTTPS, HTTPS не подлежит воспроизведению, а также безопасным каналом. Что ты скажешь, я должен использовать Оуат

Я не говорю о 3-ногах или http

Answer 1

Согласно спецификации OAuth, Раздел 11.3,

Хотя OAuth предоставляет механизм для проверки целостности запросов, он не дает гарантии конфиденциальности запроса. Если не будут приняты дальнейшие меры предосторожности, Eavesdroppers будут иметь полный доступ к запросу контента. Поставщики услуг должны тщательно рассмотреть виды данных, которые, вероятно, будут отправлены в рамках таких запросов, и должны использовать механизмы безопасности транспортного слоя для защиты конфиденциальных ресурсов.

Понятно, что если у вашего запроса нет безопасных данных, например, user_id = 2 & messageId = 33, то нет необходимости в HTTPS, но в 2-ногированном счете, где вы передаете пароль при получении токена доступа, вы должны использовать HTTPS в то время.

В обоих случаях, 2-ногарное или 3-ногационное, правило, когда вы обновляете/избираете безопасные данные (например, обновление кредитной карты, платежи, пароли), вам необходимо использовать HTTPS.