OAuth e chiavi pubbliche

2

Ricevo il flusso OAuth e PKI di base e i diversi attori coinvolti, ma non sono ancora sicuro di come le chiavi pubbliche / private possano avere un ruolo.

Quando un cliente si identifica al momento della registrazione con una chiave pubblica certificata, quella chiave è legata al token di accesso?

    
posta MizziPizzi 07.05.2014 - 16:01
fonte

1 risposta

3

prereqs:

Vedi questa domanda per una panoramica generale di come funziona OAuth.

Vedi questa domanda per una panoramica generale di come SSL chiave pubblica / TLS funziona.

Vedi questa domanda per una panoramica generale di come i certificati SSL si riferiscono all'identità.

La carne della questione:

I sistemi a chiave pubblica / privata possono essere utilizzati per fornire tre tipi di servizi:

  1. crittografia di sessione simmetrica
  2. crittografia sessione asimmetrica
  3. verifica dell'identità (spesso associata all'autenticazione)

Tecnicamente, nessuno dei tre servizi di cui sopra è necessario per il corretto funzionamento di un sistema OAuth: è molto possibile creare un sistema OAuth che non utilizzi affatto chiavi pubbliche / private.

Detto questo, i sistemi OAuth si affideranno spesso alla proprietà 1 dei sistemi di chiavi pubbliche / private per garantire che la comunicazione relativa a OAuth sia crittografata, solitamente costruendo protocolli di comunicazione in aggiunta ai sistemi esistenti basati su TLS / SSL. Inoltre, si affidano spesso alla proprietà 3 per fornire la verifica dell'identità su un solo lato, solitamente facendo affidamento su componenti browser esterni incorporati, che implicitamente svolgono tale funzione.

    
risposta data 07.05.2014 - 16:31
fonte

Leggi altre domande sui tag