Perché utilizziamo Oauth2 invece di Basic Auth nella comunicazione server-server con SSL?

1

Perché alcuni provider API ti chiedono di implementare Oauth2 nella comunicazione server-server disponibile solo su HTTPS?

Nel frontend (app o webapp), Oauth2 è utile per proteggere le credenziali dell'utente memorizzando un token e non le credenziali nella memoria locale, nel filesystem o nei cookie, e se non c'è un canale https non è una buona idea passare le credenziali su ogni chiamata piuttosto che sul token che può essere revocato o alla fine scadere.

Ma perché passare attraverso il processo di implementazione del lato server oauth2 per comunicare con un altro server? Le credenziali sono memorizzate sul server, se c'è una violazione, beh, token o no, il canale SSL ti protegge dagli uomini nel mezzo e replica gli attacchi. In che modo questo sistema è più sicuro utilizzando outh2 anziché Basic Auth?

C'è una domanda simile su questo argomento ma senza una risposta concreta, quindi sto cercando di riportare l'argomento Oauth2 vs APIKey in una comunicazione da server a server

    
posta DomingoSL 22.10.2018 - 11:53
fonte

1 risposta

0

Hai ragione, non ci sono reali benefici per la sicurezza. L'autenticazione di base è sicura se HTTPS è obbligatorio. Molto probabilmente è solo una preferenza, chiunque abbia implementato l'API ha deciso di affidarsi a Oauth2 piuttosto che disporre di più schemi di autenticazione. Le decisioni di progettazione possono variare molto da un progetto all'altro e senza conoscerne le circostanze è difficile dirlo.

    
risposta data 23.10.2018 - 01:06
fonte

Leggi altre domande sui tag