1. ホーム
  2. 質問と答え
  3. リソース所有者とアクセストークンを共有しないことがメリットと考えられるのはなぜですか?

リソース所有者とアクセストークンを共有しないことがメリットと考えられるのはなぜですか?

2016-11-23 5 views
0

は、IETFのOAuth 2.0のドキュメントRFC 6749によると、リソースの所有者に認証サーバによって発行されたトークンを公開しないことをお勧めであることを暗示している:リソース所有者とアクセストークンを共有しないことがメリットと考えられるのはなぜですか?

認証コードはいくつかの重要なセキュリティ上の利点を提供しますこのような は、リソースの所有者のユーザエージェントを通すこと、潜在的 が他人にそれをさらすことなく、クライアント、ならびにクライアントへトークン直接アクセスの 伝送を認証する能力、リソースの所有者を含むとして

これは何らかの理由がありますか?

出典

2016-11-23 mok

答えて

0

これは、アクセストークンのみに機密情報や利用可能に保持されなければならない資格証明書であることを強調して:

  • 資格情報が有効
  • であるため、リソースサーバを、それらを発行した認証サーバそれらが発行されたクライアントアプリケーションアプリケーション

リソースオーナーこれらの資格情報にアクセスする必要があります。認証コードの最も重要な部分はもちろん、他人への暴露のリスクを減らすことですが、リソース所有者に言及することを明示的に注記することで、アクセストークンのターゲット受信者がクライアントアプリケーションであることが明確になります。

出典

2016-11-25 14:57:12

+0

tokeの露出を最小限に抑える必要があることを強調しているかもしれませんが、エンドユーザーがトークンにアクセスできない理由は何も見つかりません。 – mok

+0

私はアクセストークンがクライアントアプリケーションを対象としていると言っているように、リソース所有者にそれを公開するだけで、不必要にリークの可能性が増えます。例えば、エンドユーザは、それをブックマークしたり、アクセストークンを含むリンクを共有したりすることができる。 –

関連する問題

 関連する問題