OAuth2 - È sicuro restituire il token di accesso all'utente?

4

Sono nuovo di OAuth (1 & 2) e sto sviluppando il lato server di un'app mobile che ha un modulo con il pulsante "Compila dettagli da account Google". Non ho bisogno dell'autenticazione / autorizzazione a lungo raggio.

Da qui (Listing 2) Capisco che il server debba avere un controller che:

  • Quando viene chiamato senza code nella query, farà riferimento all'utente per ottenerne uno (in un Punto di autorizzazione come: link ).
  • Quando viene chiamato con una code nella query, il server invierà una richiesta HTTP al TokenEndpoint ( collegamento ) per convertire il codice in un token di accesso (utilizzando una chiave segreta passata nella richiesta).

In questa fase, suppongo che il mio server sia in grado di utilizzare il token di accesso per recuperare i dettagli dell'utente da link - e quindi restituire i dettagli all'app dell'utente, per compilare il modulo.

Am I (lo sviluppatore del server) ha il permesso di essere pigro e restituire il token di accesso all'utente, invece dei suoi dettagli? Ad esempio, lascia che l'app utente effettui la richiesta al link .

Ciò consentirà, in futuro, di dare più energia all'app client senza modificare il codice sul mio server.

Grazie

    
posta Oren 30.12.2013 - 19:57
fonte

1 risposta

1

Penso che tu stia parlando della concessione implicita che restituisce direttamente un token di accesso al client. Hai il tempo migliore per esaminare direttamente la RFC.

Il mio pensiero è che è sicuro se usi https. Se utilizzi JWT (token web json), il token di accesso può essere firmato (JSON Web Signature (JWS)) e crittografato (JSON Web Encryption (JWE)) nel payload.

    
risposta data 13.02.2014 - 09:30
fonte

Leggi altre domande sui tag