Cronologia dispari del flusso del dispositivo OAuth 2

16

Il flusso del dispositivo OAuth 2 ha una cronologia dispari. Si trova in prime versioni della RFC, ma è stato poi rimosso apparentemente senza una spiegazione Potrei trovare Recentemente, una nuova bozza è stata proposta specificamente per reintrodurla in modo indipendente.

The device flow is suitable for clients executing on devices that do not have an easy data-entry method and where the client is incapable of receiving incoming requests from the authorization server (incapable of acting as an HTTP server).

Gli altri flussi non coprono lo scenario affrontato dal flusso del dispositivo, quindi ha utilità. Google lo supporta e ne ha un esempio in azione. Qualcuno può far luce sul motivo per cui il flusso del dispositivo è stato eliminato dallo standard OAuth 2 - ci sono problemi di sicurezza che dovremmo sapere?

    
posta HTLee 15.06.2016 - 04:10
fonte

1 risposta

2

Dovrei semplicemente rispondere alla mia domanda dopo essermi imbattuto nel motivo: il flusso del dispositivo è stato rimosso dalla specifica OAuth 2:

due to lack of sufficient deployment expertise at that time

Citazione da Appendice A: Ringraziamenti - IETF OAuth bozza del flusso del dispositivo # 01 .

Il flusso dei dispositivi è un posto abbastanza comune in questi giorni. Alcune app (ad esempio HBO GO) su dispositivi multimediali (ad esempio Roku) sembrano utilizzare il flusso del dispositivo, in cui il dispositivo al quale si sta effettuando l'accesso viene disaccoppiato da dove si inseriscono le credenziali. Per esempio. quando creo l'app HBO GO in Roku, mi viene richiesto di inserire un codice, che ottengo accedendo al sito hbogo dal browser del mio laptop.

    
risposta data 16.01.2018 - 22:23
fonte

Leggi altre domande sui tag