Per le comunicazioni macchina-macchina (incorporando altre applicazioni in applicazioni, ecc.) spesso ci troviamo di fronte al problema che il sito che stiamo incorporando richiede un nome utente e una password per l'autenticazione. Il problema è che il nome utente e la password devono essere inviati in testo semplice, quindi poiché non c'è alcun intervento umano devono essere memorizzati in testo semplice (a riposo).
Quindi, dopo aver discusso di oauth (ad esempio auth0), volevamo solo verificare la nostra comprensione.
-
È l'aggiunta del server di autorizzazione (e dei vantaggi dei token, ecc.) che rende preferibilmente oauth i nomi utente e le password? Da una prospettiva di "sicurezza a riposo" oauth non è diverso da memorizzare un nome utente e una password in testo normale, rispetto alla memorizzazione di un ID client e di un segreto in testo semplice?
-
Riesci a mantenere un segreto segreto del client a riposo se deve essere usato a livello di programmazione (quindi non può essere sottoposto a hash, salato ecc.)?