Sto costruendo una API con endpoint protetti e pubblici e la sto proteggendo con i vari flussi di OAuth 2. Voglio che questa API sia aperta al mondo: il principale sito Web del consumatore non sarà nemmeno sulla stessa origine del server API. Quindi ho intenzione di implementare CORS.
Molti testi mettono in guardia contro terze parti "che inviano richieste come l'utente ", ma non sono sicuro di cosa significhi. I presumo questo è simile a come funziona CSRF - come in, le richieste vengono inviate con i cookie dell'utente.
Se questo è il caso, dal momento che il mio schema di autenticazione OAuth 2 utilizza token passati attraverso l'intestazione HTTP o un parametro GET, non sarebbe questo un problema? Il mio servizio non tocca nemmeno i cookie.
Qualsiasi terza parte che tenta di eseguire un'operazione protetta per conto dell'utente non ha accesso a un token valido (che è archiviato su memoria locale o in memoria). O a meno che l'utente invochi esplicitamente un flusso di OAuth 2, assegna alla terza parte un token valido e utilizza quello (funzionando come previsto) - o non è un'operazione che richiede l'utente da autenticare, che funzionerebbe (funzionando anche come previsto).
Naturalmente, come tutti sappiamo, quando presumo di fare un asino da oh dio siamo compromessi ci sono gattini ovunque , quindi potrei sbagliare e c'è un maggiore divario di sicurezza che solo biscotti Grazie!