oauth e passando ricevuti toking ad altra applicazione

2

Un fornitore di software esterno sta ospitando un sito Web per noi. Forniamo le funzionalità di login tramite una restfull api (login / password su ssl). Ma il sito Web è anche il client per la risorsa OAuth a cui può accedere. Ciò implicherebbe che l'utente del sito Web che sta già effettuando l'accesso con le credenziali del suo sito Web deve accedere nuovamente alla risorsa OAuth.

Vorremmo renderlo facile per l'utente. Quindi quali sono le opzioni per non effettuare un doppio login?

Come ho capito bene OAuth, non è una buona idea memorizzare il token. Quindi è possibile con ogni login a riposfull a fare anche un login OAuth e passare il token al sito web?

    
posta progressdll 15.10.2013 - 15:04
fonte

1 risposta

3

Un utente può accedere una sola volta e utilizzare OAuth e questo token può essere utilizzato per accedere a una risorsa di terze parti. Questo design è comune, specialmente per le applicazioni web che vogliono attingere all'API di Facebook.

Come pentester, trovo che quasi ogni impianto OAuth è in violazione di almeno uno dei requisiti di sicurezza RFC di OAuth. È come se gli sviluppatori non leggessero più nemmeno le RFC * gasp *.

RFC-5839 sezione 4.5 afferma che è accettabile memorizzare il segreto condiviso e il token OAuth, per quanto tempo in quanto non sono memorizzati in testo normale. L'hashing delle credenziali è preferito, tuttavia questo token può essere crittografato e recuperato senza introdurre una significativa minaccia per la sicurezza o violare un requisito di sicurezza RFC.

    
risposta data 15.10.2013 - 18:38
fonte

Leggi altre domande sui tag