Un metodo per generare identificatori di client non individuabili

0

Sto implementando un server di autorizzazione OAuth 2.0. Come parte del processo di registrazione del client, voglio generare l'identificatore univoco del client per questo client.

Il metodo che ho scelto è quello di prendere tutte le informazioni di registrazione del client e cancellarlo usando SHA-512. Le informazioni del cliente includono:

  1. password del client (mascherata usando bcrypt)
  2. tipo di client
  3. nome cliente
  4. sito web cliente uri
  5. nome dell'applicazione
  6. url per l'immagine del logo
  7. descrizione del cliente
  8. reindirizza uri
  9. flag di accettazione termini e condizioni legali
  10. flag active registration
  11. crea timestamp // quando il cliente si è registrato
  12. aggiorna timestamp
  13. timestamp disattivato

La mia domanda è se sia sicuro includere la password crittografata quando si produce il digest SHA e se questo è un modo sicuro per produrre un identificatore univoco del client.

    
posta Mika'il 09.11.2018 - 14:43
fonte

1 risposta

1

OAuth documentation afferma che gli identificatori dei clienti sono pubblici e devono semplicemente essere univoco per tutti i client di quel server di autorizzazione. Inoltre consigliano che l'ID non sia facilmente ipotizzabile per ridurre gli attacchi di phishing.

Il metodo che hai proposto è valido, ma non fornisce alcuna sicurezza aggiuntiva su un numero generato casualmente.

Il segreto del client è la parte che deve essere crittograficamente sicura.

    
risposta data 09.11.2018 - 21:09
fonte

Leggi altre domande sui tag