OAuth significa effettivamente consentire a un'app di fare tutto come me?

6

Alcuni provider OAuth (come Google o Facebook) concedono limitati privilegi alle app di terze parti e lo dichiarano chiaramente nella pagina di autorizzazione. Ad esempio, dicono che un'app può vedere chi sei e la tua lista di amici, ma non pubblicare sul muro. E così via.

Tuttavia non tutti i provider lo fanno. Con alcuni di essi, una volta che un utente autorizza l'app e il fornitore emette il token, apparentemente puoi fare qualsiasi cosa . Il consumatore può semplicemente mantenere il token e fare ciò che vuole come quell'utente - per anni (come nel caso di JIRA) a meno che non venga revocato esplicitamente dall'utente.

È corretto? Come gestisci questa follia, se un'API consente ad app di terze parti di impersonarti completamente senza limiti?

Pezzo pertinente di documenti di Atlassian (per l'esempio JIRA): link

    
posta Konrad Garus 30.10.2015 - 11:01
fonte

1 risposta

2

Sì ... se gli dai il permesso di farlo.

Un token di accesso OAuth ha tutta la potenza che gli dai. Di solito, ti viene chiesto quanto privilegio vuoi dare attraverso quel token di accesso al momento in cui accedi con il provider OAuth. Se decidi di dare pieno accesso a tutto allora, sì, l'applicazione che riceve il token di accesso può fare qualsiasi cosa come se fossi tu.

È simile a dare un set temporaneo di chiave della tua casa a un perfetto estraneo che incontri sulla strada. Tuttavia, la grazia salvifica è che è temporanea (di solito) e che è possibile revocarla. In questo modo, OAuth è ancora molto meglio che dare il tuo nome utente / password a un'applicazione di terze parti quando vuoi che acceda alle tue informazioni.

OAuth protegge ancora la tua password e l'applicazione di terze parti è quasi sempre più limitata in quello che può fare con un token di accesso che se avesse la tua vera password. Qui è dove OAuth splende e perché è stato creato; dando un accesso limitato alle tue informazioni private per un periodo limitato di tempo con il tuo consenso (e spesso la tua capacità di revocare tale accesso).

Conclusione

Alla fine della giornata, se decidi di fidarti dell'applicazione dannosa, non c'è nulla che possa salvarti. MA, fidarsi di un'applicazione dannosa tramite OAuth è molto meglio che dargli la tua password.

    
risposta data 30.10.2015 - 14:35
fonte

Leggi altre domande sui tag