Perché OAuth2 richiede credenziali client in un'intestazione di autorizzazione?

5

Nella sezione 2.3.1 del Framework di autorizzazione di OAuth 2.0 che afferma:

The authorization server MUST support the HTTP Basic authentication scheme for authenticating clients that were issued a client password.

Continua a dire:

Including the client credentials in the request-body using the two parameters is NOT RECOMMENDED and SHOULD be limited...

Perché è including the client credentials in the request-body using the two parameters is not recommended ?

Posso pensare a qualsiasi ragione. Se è sufficiente che le credenziali dell'utente siano in chiaro nel corpo della richiesta, perché non è abbastanza buono per le credenziali del cliente? Le credenziali del client sono ancora in testo normale nonostante la codifica richiesta dall'autorizzazione di base. Mi manca qualcosa?

    
posta Adrian Toman 14.12.2013 - 10:24
fonte

2 risposte

2

Una possibile ragione è che i parametri di richiesta sono generalmente disponibili per l'applicazione Web, mentre a seconda della piattaforma la password utilizzata per l'autenticazione di base può essere rimossa dal server HTTP dalle variabili di sever HTTP impostate per impedire che sia disponibile per i semi -trusted applications.

    
risposta data 16.01.2014 - 17:17
fonte
0

Probabilmente per impedire l'elaborazione del corpo della richiesta in caso di autenticazione non riuscita, ad es. errore 401 .

Non sono sicuro di come ciò possa essere diverso dal caso generale di POSTing delle credenziali dell'utente. Tranne forse (nel contesto OAuth 2.0 / OIDC) l'endpoint del token è potenzialmente noto / individuabile.

    
risposta data 28.09.2018 - 08:14
fonte

Leggi altre domande sui tag