OAuth 2.0 fornisce un modo per rigenerare in modo affidabile una chiave solo quando una sessione è attiva?

3

Voglio crittografare i dati sensibili sul mio app server (app per Facebook) in modo tale che la mia app possa decrittografare questi dati solo quando l'utente è in una sessione attiva. Devo essere in grado di derivare / rigenerare / salare in modo affidabile una chiave per crittografare / decifrare questi dati, e vorrei usare qualcosa che Facebook invierà alla mia app solo quando l'utente è connesso attivamente, sarà sempre lo stesso tra sessioni per quell'utente specifico e non è facilmente falsificato dalle informazioni disponibili ad altri utenti o app. Esiste qualche informazione segreta in OAuth 2.0 o nell'API di Facebook Connect che è sia utente che amp; specifica dell'app e sarà coerente tra le sessioni?

Lo scopo è di mantenere una chiave privata di una coppia di chiavi che generi per ogni utente ... consentendo così agli utenti di scambiare bit di dati sensibili tra loro (o piuttosto, per la mia app scambiare bit di dati sensibili internamente) in modo tale che queste informazioni siano protette anche se i dati sul server dell'app vengono compromessi ... (Comprendo che se il server dell'app rimane compromesso per un certo periodo di tempo, è possibile che tali informazioni sensibili siano ancora raccolte da tutti gli utenti che hanno avuto sessioni attive mentre il server è stato compromesso, ma vorrei ridurre al minimo la quantità di danni possibili nel caso in cui il server venga compromesso ... in modo tale che qualsiasi dato estratto dal server sia inutile senza ogni individuo chiave / informazioni segrete dell'utente

    
posta Ali Ahmad 06.01.2013 - 20:48
fonte

1 risposta

1

OAuth 2.0 non ti fornisce specificamente quello che stai cercando, ma nella maggior parte dei casi dopo aver ottenuto il tuo token OAuth (in molti casi quando ottieni il tuo token oauth) avrai accesso a un ID utente di qualche tipo. L'id sarà diverso da ogni provider però. In particolare per Facebook OAuth, ti danno semplicemente il token di accesso e quindi devi fare una richiesta alla pagina porfile per l'id.

link

C'è un esempio di questo visto nei documenti qui:

link

    
risposta data 11.01.2013 - 14:06
fonte

Leggi altre domande sui tag