問題タブ [oauth-provider]

さまざまなWebベースのAPIを保護するためにOAuthプロバイダーを実装しています。最も頭痛の種は、OAuthを介してWebSocketを保護することです。

ブラウザに設定されたクライアントで完全に安全に実行できますか？

サーバーを備えたWebアプリケーションと比較して、ブラウザーにある場合のリスクは何ですか？

2本足のOAuthを使用してWebSocketへの接続を制限したいので、登録されたクライアントのみが拒否されることなくAPIへのWebSocket接続を取得できます。WebSocket接続は常に（！）クライアント側で（ブラウザーから）確立されるので、accessTokenが盗まれたり誤用されたりするのを防ぐことは可能ですか？
その時点で、Webアプリケーションクライアントアプリからブラウザベースのクライアントを設定するのはURLだけです。

ブラウザベースのアプリケーションが安全でない場合、私はそれで生きることができますが、少なくともWebベースのアプリケーションがWebSocketにアクセスするための安全な方法を持っていることを確認したいと思います。

しかし、その時点で、accessTokenが必要かどうかを自問します。これは、origin-URIを唯一の安全なメカニズムとして使用できるためです。

OAuth 2.0 仕様では、リソース オーナーのパスワード クレデンシャル グラント タイプが定義されています。これにより、リソース オーナーのパスワード クレデンシャル (つまり、ユーザー名とパスワード) を承認グラントとして直接使用して、アクセス トークンを取得できます。

資格情報を直接提供する代わりに、ユーザーがクライアントで「Facebook 経由でログイン」できるようにしたいと考えています。その後、クライアントは、ユーザーの Facebook アクセス トークンを認証サーバーのアクセス トークンと交換できます。このスキームは OAuth2 のフレームワークに適合しますか?

私たちの API では、DotNetOpenAuth (v3.4.7) を実装しました。「メッセージ内のトークンがサービス プロバイダーによって認識されませんでした」という例外が頻繁に発生し、次のスタック トレースが表示されます。

つい最近、リクエスト トークンの承認に時間がかかりすぎると、この例外がスローされることを発見しました。そのため、認証プロセスのステップ 1 とステップ 2 の間の時間が長すぎます。

今回は web.config またはプログラムで構成できますか?

注：試してみmessaging lifetime="00:30:00"ましたが、それは私が目指しているものに影響を与えていないようです.

私は OAuth と API セキュリティにかなり慣れていません。

独自のモバイル アプリケーションからアクセスできる REST API を構築しています。

OAuth 承認と認証を介して API を他の開発者に公開したいと考えており、独自の OAuth プロバイダーを使用します。

自分のモバイル アプリの認証戦略は? 結局のところ、ユーザーがアプリを承認する必要はありません。自分のモバイル アプリケーションがデフォルトで事前承認されている場合、認証に OAuth を使用できますか?

モバイル アプリのユーザーを OAuth で認証できますか? それとも OpenID のようなものが必要ですか?

私の会社は他のウェブサイトにサービスを提供しています。実装しているサービスにクエリを送信し、応答を受信して​​結果をページに表示する、サイトに埋め込む簡単なコードスニペット（ウィジェットなど）を提供できるようにしたいと思います。私は彼らの努力を最小限に抑え、可能な限り最小のスニペットのみを提供したいと思います。これが、すべてクライアント側に留めておきたい理由でもあります。

問題は、サイトからコードをコピーした他の人ではなく、クライアントが実際に電話をかけていることを確認したいということです。Webクライアントのoauth2フローを調べましたが、クライアントの認証が有効になっていないようです。コールバックURLをクライアントが私のサービスに登録したURLと比較することによって、クライアントを検証する方法があると言っています。

私の質問：

1. より良いアプローチはありますか？
2. クライアントを検証するために説明されている方法を含む、oauth2クライアント側のアプローチは十分に安全ですか？
3. 提案された実装に行く場合、何に注意を払う必要がありますか？

OAuth をサポートするように Web サイトを拡張して、サードパーティ アプリケーションがデータにアクセスし、Web サイト ユーザーに代わってアクションを実行できるようにしたいと考えています。どうすればいいですか？

基本的に、アクセス トークンの生成方法と実行する必要があるデータベースのセットアップ方法を知りたいと思います。

OAuth2.0v20用のPHPライブラリを使用しています

ドラフト20には、CSRFを防ぐための状態の使用についての言及があります

これまでのところ、このPHPライブラリを実装する私自身のWebアプリでは、次のことが可能です。

1. 認証コード要求を使用した3本足の認証
2. Resource OwnerCredentialsGrantを使用した2本足の認証
3. アクセストークンを更新するリクエスト

上記の3つの状況すべてに状態を使用する必要がありますか？

もしそうなら、「状態」の良い例は何ですか？

何が良い「状態」になるのでしょうか？

理想的な長さはありますか？最小の長さはありますか？最大長はありますか？

理想的なメイクはありますか？大文字を含む英数字？

私は自分のサイトに OAuth プロバイダーを実装しようとしていますが、少し混乱しています:

クライアント バージョンとサーバー バージョンの多くのドラフトがあります。同じバージョンを使用する必要がありますか? 多くの実装では、ドラフト版は書かれていません! それは本当に重要ですか？何かアドバイス？

私が見つけた実装：

• https://github.com/quizlet/oauth2-php
• http://code.google.com/p/oauth2-php/

Zend (私が本当に必要としているもの) を使って

• https://github.com/chrisweb/oauth-2---facebook---zend-framework-components/tree/master/library/Zendリンクの説明をここに入力
• https://github.com/smalyshev/Zend_OAuth_Provider (おそらく OAuth1 )

Grailsを使用してRESTAPIを構築しています。OAuth2.0 client_credentials flow（grant_type）を使用して保護する必要があります。私のユースケースは次のとおりです。

外部エージェントは、次のようなものにリクエストを送信します

access_tokenを取得します。次に、私のURL（保護されたリソース）は次のようなものでアクセス可能である必要があります

Grailsでこれを簡単かつ迅速に実行できるものを探しています。これに使用するのに最適な方法/ツール/プラグインは何ですか？Scribeライブラリはオプションです。私の特定のユースケースのチュートリアルがあれば、それは素晴らしいことです。

PS：私は春のセキュリティと関連するプラグインを試しましたが、そこには喜びがありません。どんな選択肢もいいでしょう。

例外 ：

このエラーが発生する理由はありますか？