Perché i server di autorizzazione dovrebbero documentare la dimensione degli identificatori dei client?

2

Nella sezione 2.1 di RFC OAuth2.0, si afferma quanto segue per quanto riguarda l'identificatore del client:

The authorization server SHOULD document the size of any identifier it issues.

Che senso ha fare questo?

    
posta Mika'il 19.10.2018 - 10:49
fonte

1 risposta

2

Alcuni identificatori possono essere memorizzati in un database o in un altro formato che specifica la dimensione dei campi.

Sarebbe un caso abbastanza comune in cui uno sviluppatore voleva memorizzare i token di autorizzazione nel proprio database. Ecco un esempio del mondo reale .

Nel caso che ho collegato sopra, il token era inferiore a 255 caratteri, che si adatterebbe in un VARCHAR (255), ma Facebook ha inviato token di accesso con più di 255 caratteri.

Questo potrebbe non sembrare un grosso problema, perché uno sviluppatore può impostare il proprio varchar su 8000 o qualunque sia la dimensione massima del DB, ma in alcune istanze MySql, avere un VARCHAR UTF-8 su 255 può portare a problemi nell'indicizzazione del tabelle.

Ci sono molte sfumature che potrebbero influenzare le decisioni di progettazione, se gli sviluppatori sanno cosa stanno per tornare da un server di autorizzazione e se cambia, è meglio averlo documentato da qualche parte, piuttosto che averlo fallire un giorno e non avere idea di cosa sia successo.

    
risposta data 20.10.2018 - 03:24
fonte

Leggi altre domande sui tag