ADFS 3.0 OAuth2.0 contro le applicazioni client

4

ADFS 3.0 non supporta il flusso del client di concessione implicita di Oauth2, né supporta i segreti del client.

Le indagini iniziali suggeriscono che non è sicuro utilizzare il flusso di autorizzazione del codice autorizzato da un'applicazione client nativa in quanto espone il segreto del client ma ADFS 3.0 non supporta i segreti del client.

È possibile utilizzare l'implementazione di ADFS del flusso di autorizzazione del codice autorizzato in modo sicuro da un'applicazione client nativa? (Sto pensando di no).

    
posta haymansfield 03.02.2016 - 17:24
fonte

1 risposta

2

Sì. L'utilizzo del lato client del flusso del codice di autorizzazione avrà quasi lo stesso effetto dell'utilizzo del flusso di concessione implicito.

Ci saranno alcune richieste extra ma il risultato finale sarà lo stesso con alcuni avvertimenti:

  • La specifica del flusso implicito dice che il token deve essere nel frammento dell'URL in modo che non lasci lo user-agent. Non lo avrai con il flusso di codice
  • Non dovresti abilitare refresh_tokens per il client.

Si applicano anche gli stessi problemi di sicurezza previsti per il flusso implicito. Vedi RFC6748 sezione 10.16 :

Authenticating resource owners to clients is out of scope for this specification. Any specification that uses the authorization process as a form of delegated end-user authentication to the client (e.g., third-party sign-in service) MUST NOT use the implicit flow without additional security mechanisms that would enable the client to determine if the access token was issued for its use (e.g., audience- restricting the access token).

E sul fronte delle credenziali del cliente eri già coperto:

Native applications that use the authorization code grant type SHOULD do so without using client credentials, due to the native application's inability to keep client credentials confidential.

Nota a piè di pagina : assicurati di leggere RFC6819 sezione 4.4.2 per evitare altre insidie di flusso implicite comuni.

    
risposta data 09.09.2016 - 00:36
fonte

Leggi altre domande sui tag