OAuth2 vs chiave API

3

Il nostro prodotto consente ai componenti di terze parti di comunicare con i servizi Web utilizzando una chiave API (un token al portatore). Lo sviluppatore del componente genera la chiave API nella nostra app e quindi la memorizza con il suo componente.

Recentemente alcuni clienti ci hanno chiesto di passare a OAuth2 anziché semplici chiavi API per una maggiore sicurezza.

Abbiamo bisogno di utilizzare il tipo di concessione Credenziali del Cliente per questo in quanto non vi è alcun 'utente' coinvolto nel flusso. Tuttavia, ciò richiede la memorizzazione dell'ID client e del segreto insieme al componente.

In che modo è più sicuro della semplice memorizzazione di una chiave API con il componente? Non hanno la stessa superficie di attacco (chiunque abbia accesso a quel componente può spoofarlo)?

    
posta statictype 20.01.2018 - 01:46
fonte

1 risposta

1

Potrebbero non provare a migliorare la sicurezza della tua estremità della connessione. Potrebbero cercare di migliorare la propria sicurezza e la sicurezza dei propri clienti, eliminando meccanismi di autenticazione sviluppati in casa o non provati.

    
risposta data 20.01.2018 - 02:08
fonte

Leggi altre domande sui tag