जहाँ तक मुझे पता है, OAuth मानक कैसे OAuth वास्तव में व्यवहार करना चाहिए पर बहुत ढीला है, लेकिन ...OAuth टोकन सुरक्षा
मैं एक डेटाबेस में विभिन्न OAuth सेवाओं के लिए OAuth पहुंच टोकन की दुकान। यदि इन टोकन से समझौता किया गया था, तो क्या उनका उपयोग किसी तीसरे पक्ष द्वारा किया जा सकता है? यानी, दिए गए टोकन केवल मेरे एपीआई और गुप्त कुंजी से बंधे हैं?
टोकन किसी दिए गए सेवा और उपयोगकर्ता से जुड़े हुए हैं। उन लोगों के साथ, कोई उस उपयोगकर्ता होने का नाटक कर सकता है। यह किसी भी आईपी पते या डिवाइस यूयूआईडी से जुड़ा नहीं है उदाहरण के लिए (हालांकि कोई इसे अतिरिक्त सावधानी के रूप में कर सकता है, लेकिन यह ओएथ का हिस्सा नहीं है)।
यदि उनके साथ समझौता किया गया था, तो आप उन्हें अनधिकृत करेंगे, इस प्रकार उन्हें बेकार बनाते हैं।
क्या उन्हें विभिन्न API और गुप्त कुंजी के साथ उपयोग किया जा सकता है?
नहीं। एक्सेस टोकन भी उनके द्वारा जारी किए गए आवेदन से जुड़ा हुआ है।
इस तरह उपयोगकर्ता उपयोगकर्ता द्वारा उप-आवेदन के आधार पर प्राधिकृत कर सकता है, और प्रत्येक ऐप में अनुमतियों का एक अलग सेट हो सकता है (जैसे केवल पढ़ने के लिए पहुंच)।
पते से आपका क्या मतलब है? टोकन किसी दिए गए सेवा और उपयोगकर्ता से बंधे होते हैं। उन लोगों के साथ, कोई उस उपयोगकर्ता होने का नाटक कर सकता है। – Thilo
मेरा मतलब आईपी पता था। लेकिन मुझे वास्तव में क्या मतलब होना चाहिए, क्या वे अलग-अलग एपीआई और गुप्त कुंजी के साथ इस्तेमाल किया जा सकता है? मैं सवाल संपादित करूंगा। –