oAuth 2.0:是否可以与不同的应用程序共享 access_token?

【问题标题】:oAuth 2.0: Is it possible to share the access_token with different applications?oAuth 2.0:是否可以与不同的应用程序共享 access_token?
【发布时间】:2012-09-01 01:46:10
【问题描述】:

是否可以与不同的应用程序共享 access_token?我认为这是完全可能的。授予令牌后,仅通过传递 access_token 即可发出请求。没有机制可以验证发出请求的应用程序。

因此,如果一个服务对每个应用设置了 100 个令牌的限制,那么注册两个应用并共享 access_tokens 来为每个应用保存 200 个令牌就足够了。

我错了吗?

【问题讨论】:

    标签: oauth-2.0


    【解决方案1】:

    oAuth 令牌保证您可以代表身份 (IdP) 与服务提供商 (SP) 进行交互。因此,如果您在多个应用程序之间共享一个令牌,您就是在向服务提供商表明这些都是您的应用程序(这是完全可以接受的),但是您不能将 Facebook 的 oAuth 令牌提供给 Twitter,或者使用您自己的 LinkedIn 令牌来修改您以外的其他人的帐户。

    【讨论】:

    • 如果有人干扰我的 access_token 是否可以访问我的数据?那么 oAuth 相对于基本身份验证的安全性有什么优势呢?窃取 acces_token 与窃取用户/密码对一样“简单”。
    • 一大优势是身份所有者可以集中拒绝 oAuth 令牌。更高级的身份和服务提供商可以在 24 小时后施加限制,例如令牌过期(我认为这是 Facebook 的立场),或者只允许通过 oAuth 进行读取操作,同时要求对可能更改或删除信息的任何内容进行基本身份验证。您必须问自己,什么更安全,一个密码可以让任何可以推断它的人都可以完全访问,或者一个服务令牌可以集中终止,并且只向潜在的黑客公开部分功能。
    猜你喜欢
    • 1970-01-01
    • 2012-10-13
    • 2013-08-17
    • 1970-01-01
    • 1970-01-01
    • 2017-12-29
    • 2019-04-05
    • 1970-01-01
    • 2020-08-26
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode