È sicuro includere i dati di connessione nel token?

Naviga le tue risposte
2

Quando si genera un ClaimIdentity per l'uso di oAuth nella generazione di un token, è sicuro includere le informazioni del database come reclamo?

La mia applicazione utilizza un database diverso a seconda dello scenario specifico (ad esempio, un utente demo o un utente live). Ho bisogno dei dettagli della connessione al database su ogni chiamata per poter colpire il database corretto per l'utente che ha effettuato l'accesso.

È sicuro includere queste informazioni come parte dell'identità che viene utilizzata per generare il token? Qual è la probabilità che il token possa essere decrittografato e che i dettagli della connessione siano stati estratti?

    
posta Obsidian Phoenix 05.08.2015 - 00:14
fonte

1 risposta

2

Tipicamente con oAuth, il campo Reame verrà utilizzato per questo scopo. Potrei vederti includere un parametro stringa di query che contiene una chiave per puntare a una specifica connessione al database o qualche altro identificatore che ti consentirebbe di sapere dove esiste un dato utente.

Da link

These realms allow the protected resources on a server to be partitioned into a set of protection spaces, each with its own authentication scheme and/or authorization database.

Tuttavia non memorizzerei qui i dettagli della stringa di connessione effettiva! Questo tipo di dati non dovrebbe mai lasciare la tua applicazione. Dovresti utilizzare una chiave, un hash o un identificatore e utilizzarlo per cercare internamente i dettagli della stringa di connessione.

    
risposta data 06.11.2015 - 22:11
fonte

Leggi altre domande sui tag

Quando i servizi dovrebbero mantenere i dati? [chiuso] C'è qualche ragione per scrivere delegati / eventi per una classe?