हम OAuth2 के साथ हमारे बाकी सर्वर सुरक्षित और है कि हम को नियंत्रित कई ग्राहक क्षुधा के लिए ग्राहक साख अनुदान प्रकार क्रियान्वित किया है। अब हम टोकन लंबे समय तक रहने के निर्णय का सामना कर रहे हैं (यानी वे "कभी नहीं" समाप्त हो जाते हैं या ग्राहकों को पुन: प्रमाणीकृत करें (ताज़ा टोकन समाप्ति के आधार पर)। पहला मतलब है कि एक कैप्चर किए गए टोकन का उपयोग किसी दुर्भावनापूर्ण पार्टी द्वारा किया जा सकता है, दूसरा माध्यम क्लाइंट रहस्य को अक्सर प्रकट करता है जो बदले में टोकन प्राप्त करने के लिए उपयोग किया जा सकता है।OAuth2 - लंबे समय से एक ग्राहक साख में टोकन बनाम पुन: प्रमाणीकरण रहते थे प्रवाह
क्लाइंट-सर्वर प्रमाणीकरण के लिए संसाधन-सर्वर में कौन सा सुरक्षित है? यदि हमें चोरी पर संदेह है तो टोकन और क्लाइंट रहस्य दोनों को अमान्य किया जा सकता है। जाहिर है सभी संचार https ..
वर्तमान में हम सोच रहे हैं ग्राहक गोपनीयता टोकन से अधिक शक्तिशाली है और इस तरह एक लंबे रहते थे टोकन इस दो पैरों वाला परिदृश्य के लिए बेहतर होना चाहिए के माध्यम से किया जाता है। (किसी भी तीन-पैर वाले अनुदान प्रकार के लिए जिसे हम जल्द ही कार्यान्वित करेंगे, हम उपयोगकर्ता सत्र के रूप में कार्यरत एक छोटा सा टोकन पसंद करेंगे)।
आपके विचारों के लिए धन्यवाद!
आपके उत्तर के लिए धन्यवाद। हम शायद लंबे समय तक चलने वाले टोकन के साथ जाएंगे, एक स्थिरता परत जोड़ देंगे ताकि हम समय-समय पर टोकन को अमान्य कर सकें। लेकिन आपके उत्तर उठाए गए दो और प्रश्न हैं। पठनीयता के लिए मैं उन्हें अपनी पोस्ट में जोड़ दूंगा। मैं उन पर आपके विचारों की सराहना करता हूं। – Pete
कोई बात नहीं, बस मेरे सवालों का जवाब दिया ..;) – Pete