Perché OAuth2 richiede credenziali client in un'intestazione di autorizzazione?

Question

Perché OAuth2 richiede credenziali client in un'intestazione di autorizzazione?

#1 da (2 voti)
#2 da (0 voti)

5

Nella sezione 2.3.1 del Framework di autorizzazione di OAuth 2.0 che afferma:

The authorization server MUST support the HTTP Basic authentication scheme for authenticating clients that were issued a client password.

Continua a dire:

Including the client credentials in the request-body using the two parameters is NOT RECOMMENDED and SHOULD be limited...

Perché è including the client credentials in the request-body using the two parameters is not recommended ?

Posso pensare a qualsiasi ragione. Se è sufficiente che le credenziali dell'utente siano in chiaro nel corpo della richiesta, perché non è abbastanza buono per le credenziali del cliente? Le credenziali del client sono ancora in testo normale nonostante la codifica richiesta dall'autorizzazione di base. Mi manca qualcosa?

oauth

posta Adrian Toman 14.12.2013 - 10:24

fonte

2 risposte

Leggi altre domande sui tag oauth

XSS via PDF quando Content-Disposition: Inline? Come può essere rilasciato un certificato intranet attendibile se viene eliminato gradualmente?

score 2 · Answer 1

Una possibile ragione è che i parametri di richiesta sono generalmente disponibili per l'applicazione Web, mentre a seconda della piattaforma la password utilizzata per l'autenticazione di base può essere rimossa dal server HTTP dalle variabili di sever HTTP impostate per impedire che sia disponibile per i semi -trusted applications.

score 0 · Answer 2

Probabilmente per impedire l'elaborazione del corpo della richiesta in caso di autenticazione non riuscita, ad es. errore 401 .

Non sono sicuro di come ciò possa essere diverso dal caso generale di POSTing delle credenziali dell'utente. Tranne forse (nel contesto OAuth 2.0 / OIDC) l'endpoint del token è potenzialmente noto / individuabile.