Perché Oauth2 redirect_uri può essere un URI non-https?

1

Sto costruendo un piccolo sito che vorrei integrare con LinkedIn per l'autenticazione. LinkedIn dice che redirect_uri può essere http: // o https: // (non dover pagare per un certificato è davvero fantastico in questo momento)

Dopo aver esaminato le specifiche di OAuth2, non riesco a comprendere la possibilità di scambiare un token via testo come non incline alle vulnerabilità. So che questa è una domanda fondamentale, dato che sono abbastanza nuovo nel mondo criptico. E naturalmente so che una vulnerabilità così ovvia (se esistente) è già stata affrontata.

La domanda è: come? In che modo le specifiche trattano il token inviato all'agente utente in testo semplice e reindirizzato al client in modo potenzialmente non sicuro?

    
posta Augusto G 15.08.2014 - 00:30
fonte

1 risposta

1

La risposta è piuttosto semplice: non è così. Se il token viene inviato su testo non crittografato, allora sei protetto. Le specifiche non forniscono attenuazioni per problemi di sicurezza che derivano dal non seguire i consigli delle specifiche.

In alternativa c'è un po 'di sollievo nell'usare il flusso del codice perché stai passando un nonce di sorta (il' codice ') invece del testo libero. È necessario scambiare il codice per un token appropriato tramite un servizio backchannel, che dovrebbe essere su SSL. In questo modo il token stesso viene richiesto su un canale sicuro.

    
risposta data 15.08.2014 - 00:51
fonte

Leggi altre domande sui tag