私はおそらく概念を混乱させていますが、私はweb2py Google Groupで、ダイジェスト認証を実装する必要があることについて話し合っています。
OAuth2では、認証キーをハッシュして、認証レルム内でのみ送信する必要があると考えています。
違いが生じる場合は、JavaScriptクライアント側を使用し、インターフェースはJSONRPCサーバー側で公開され、OAuth2はFacebookで実行されます。
ダイジェストレルム内でOAuth2をネゴシエートする必要がありますか?
1 に答える
3
あなたは物事を混乱させています-OAuthにはダイジェストレルムの概念はありません。'auth-key'のようなものもありません。あなたが持っているのは認証トークンです。これは、ユーザー/エンティティによって発行されたという主張を表しています。
トークンは[client_id、user、scope、expiration]タプルを表すため、ハッシュを生成するために使用することはできません。ハッシュは役に立たないためです。リソースサーバーは、一致するものを見つけるためにすべての可能な組み合わせをハッシュすることはできません。
トランスポートセキュリティが必要な場合は、SSLが必要です(有効な証明書を使用したMiTM攻撃などは考慮されていません)。
とはいえ、攻撃者がすでにトラフィックを傍受する立場にある場合、ダイジェストを使用して資格情報(トークン)を保護することはほとんど役に立ちません...
また、OAuth2の背後にあるストーリーに何かを追加する-それが非常に単純である理由(保護のためにSSLに依存している)は、これがほとんどすべての人によって管理可能なものであるためです。
何かが複雑になるほど、何かがうまくいかない可能性が高くなります。
于 2012-07-20T03:19:41.320 に答える