Che cos'è OAuth a gamba zero (o esiste)?

1

Come ho capito, OAuth a gamba zero è il luogo in cui i token / i codici segreti normalmente temporanei vengono decisi in anticipo e sono fatti per non scadere, quindi non è necessario alcun passo di autenticazione prima di effettuare richieste "effettive" dell'API REST backend . Per me, questo sembra andare contro lo standard. Ho ragione nel pensarlo?

    
posta slim 02.09.2016 - 20:56
fonte

1 risposta

2

L'autenticazione non è in pratica diversa: lo stesso segreto viene utilizzato come in altri flussi dal cliente per creare una firma o altrimenti fornire la prova del possesso del segreto.

La differenza è dal lato dei fornitori di servizi. Ogni endpoint del provider di servizi che partecipa a auth a zero zampe deve sapere come accedere alla forma del provider del segreto del client, per poter convalidare direttamente le richieste firmate con il segreto.

Questa è un'architettura meno capace, più monolitica e potenzialmente meno sicura, meno sicura a causa della necessità di distribuire l'effettivo segreto condiviso, piuttosto che un token ad uso limitato.

    
risposta data 06.09.2016 - 16:36
fonte

Leggi altre domande sui tag