In che modo OAuth2 è sicuro contro gli attacchi man-in-the-middle

Naviga le tue risposte
0

Attualmente sto facendo ricerche per proteggere le chiamate API interne e mi sono interessato alla firma delle richieste poiché sembra abbastanza sicuro (usare un segreto che non invierai a nessuno per firmare la tua richiesta è abbastanza sicuro).

Il mio problema è che la maggior parte dei servizi gateway API offre meccanismi OAuth2. Ho seri dubbi sulla sua sicurezza.

Qualcuno può spiegare se è effettivamente sicuro inviare le credenziali per ottenere un token e usarlo in un'intestazione Authorization ?

Non posso fare a meno di ritenere che chiunque possa ottenere con successo le informazioni della prima richiesta avrà tutto ciò di cui ha bisogno per impersonarti sulle future chiamate API.

    
posta Alvaro 15.01.2016 - 12:59
fonte

1 risposta

4

Spunti su una parte importante dello standard OAuth2.

Vale a dire, tutti gli accessi sono legati all'IP e sono limitati nel tempo. (come in x minuti). Dopodiché è necessario richiedere un nuovo token tramite il meccanismo di autenticazione.

Un'altra parte dello standard in uso per proteggersi dalle intercettazioni è che tutti i provider di OAuth2 DEVONO implementare una connessione TLS o SSL. (nessun HTTP consentito).

Ma hai ragione nel dire che se qualcuno può realmente origliare la connessione completa dall'inizio (come nella prima autenticazione con l'autenticazione oauth completa e il processo di autorizzazione) ha tutte le informazioni per connettersi al servizio dal tuo IP.

Questo è comunque lo stesso se vuoi accedere direttamente al servizio.

    
risposta data 15.01.2016 - 14:12
fonte

Leggi altre domande sui tag

Processo certificato digitale SSL - alto livello Si tratta di una buona funzione di hash?