0

私のアプリケーションは基本的に、サービスから取得した一部のデータを別の形式に変換し、オンザフライでユーザーに提供するステートレス プロキシです。データは機密ではないため、唯一の認証方法は大きなランダム URL です。それでも、データをフェッチするために保存する必要がある OAuth アクセス トークンには、write漏洩を避けたい機能がいくつかあります。

私の質問は、アクセス トークンを URL の公開識別子として使用し、キーを保護したままにするのが安全かどうかsecret、またはランダム ID を生成して内部でトークンにリンクする必要があるかどうかです。

4

1 に答える 1

1

OAuth 1 仕様によると、アクセス トークンは、受信時および共有リソースへのアクセス時にプレーンテキストで (署名付きのリクエストと共に) 渡されます。したがって、それらを一意の識別子として使用しても、どちらの秘密も漏らさない限り、攻撃のリスク プロファイルがまったく増加することはありません。

とは言うものの、URL の形式を制御できることは、この 2 つをリンクするというちょっとした手間をかけるだけの価値があるかもしれません。IDP には、ある時点でフォーマット、長さ、または一意性に予期しないバグがあり、後で問題が発生する可能性があります。

于 2012-07-19T05:28:31.500 に答える