L'OAuth client_id dovrebbe rimanere riservato?

Question

L'OAuth client_id dovrebbe rimanere riservato?

#1 da (2 voti)

1

Desidero che il proprietario del server di autorizzazione OAuth mostri (informazioni su) i client che sono stati registrati. È corretto utilizzare client_id come identificatore pubblico del client o anche client_id essere riservato (come client_secret )? Condividerei anche i metadati del client client_name e client_uri per mostrare un elenco dei clienti registrati ma questi non sono problematici. Certo, potrei aggiungere un altro riferimento indiretto gestendo una mappatura interna tra gli ID client pubblici e client_id ma è effettivamente necessario dal punto di vista della sicurezza?

oauth

posta Jakob 03.02.2016 - 09:31

fonte

1 risposta

Leggi altre domande sui tag oauth

Consenti al sito web B di visitare solo se hai visitato il sito Web A primo [chiuso] I sotterfugi funzionano su TUTTE le reti?

score 2 · Accepted Answer

La tua client_id è come il tuo nome utente o indirizzo e-mail che utilizzi per autenticare la tua applicazione / servizio su OAuth. Non è esattamente top secret, ma renderlo di pubblico dominio potrebbe anche essere indesiderabile.

Specialmente se lo combinerai in un elenco insieme a client_name e redirect_uri diventa un po 'pericoloso. Dato che stai distribuendo praticamente tutte le informazioni del cliente, potrebbe diventare un elenco interessante per gli aggressori. Se vogliono scegliere come target una delle app / servizi del tuo elenco, hanno già molte informazioni e devono solo "crackare" il segreto per identificarsi come tuo cliente. Ovviamente, spezzare il segreto non dovrebbe essere un compito molto semplice, ma in pratica stai dando via alcune informazioni gratuite che normalmente non fanno parte del dominio pubblico.

Consiglierei prudenza quando deciderai di andare avanti con questo, come non avere pagine / elenchi come questo indicizzati dai motori di ricerca (se si tratta di un elenco online), memorizzati in una cartella pubblica nella tua rete domestica / aziendale (se è una lista digitale) o in giro sulla tua scrivania (quando si tratta di un elenco fisico).