1. घर
  2. सवाल और जवाब
  3. क्या एचपीएसी आवश्यक है यदि सभी एपीआई कॉल https के माध्यम से किए जाते हैं?

क्या एचपीएसी आवश्यक है यदि सभी एपीआई कॉल https के माध्यम से किए जाते हैं?

2012-06-26 25 views
19

यदि सभी एपीआई कॉल https के माध्यम से भेजे जाते हैं, तो क्या एचएमएसी कोई अतिरिक्त सुरक्षा जोड़ता है? उदाहरण के लिए, ओथ 2 में, क्लाइंट प्रदाता को अपनी गुप्त कुंजी भेजता है बिना किसी भी चीज के। क्या यह सुरक्षित माना जाता है क्योंकि यह https से अधिक है? सख्ती से नहीं, इस कॉल पर एचएमएसी का उपयोग करने से ओथ 2 और अधिक सुरक्षित हो जाएगा? यदि हां, तो वह ओथ 2 का मानक हिस्सा क्यों नहीं है?क्या एचपीएसी आवश्यक है यदि सभी एपीआई कॉल https के माध्यम से किए जाते हैं?

स्रोत

2012-06-26 Philippe Huibonhoa

उत्तर

13

ओएथ 2 मानक की आवश्यकता है कि प्राधिकरण सर्वर को अपने सभी एंडपॉइंट्स पर HTTPS का उपयोग करना चाहिए और क्लाइंट को HTTPS के साथ सुरक्षित कॉलबैक का उपयोग करना चाहिए। चूंकि संदेश सामग्री (हेडर, क्वेरी पैरामीटर और OAuth पर विचार करने वाले टुकड़े) केवल सर्वर और क्लाइंट द्वारा ज्ञात हैं, इसलिए HTTPS कनेक्शन का उपयोग सुरक्षित माना जाता है। इस प्रकार प्राधिकरण अनुरोध के लिए एक अलग हस्ताक्षर का उपयोग करके कोई लाभ नहीं है, इसीलिए मानक में ऐसे हस्ताक्षर भी उल्लेख नहीं किए गए हैं।

हालांकि यह आवश्यक प्रतिक्रिया के लिए जरूरी नहीं है। यदि ग्राहक को असुरक्षित कॉलबैक के लिए प्राधिकरण प्रतिक्रिया प्राप्त होती है, तो यह इसकी वैधता को सत्यापित नहीं कर सकता है। ऐसे मामलों में, एक हमलावर ग्राहक को मनमाने ढंग से प्राधिकरण परिणाम भेज सकता है। कॉलबैक पैरामीटर के साथ हस्ताक्षर जोड़ना, आप इससे बच सकते हैं। हालांकि, यह एक HTTPS कॉलबैक के साथ पारस्परिक क्लाइंट/सर्वर प्रमाणीकरण का उपयोग करने के लिए एक बेहतर समाधान प्रतीत होता है।

प्राधिकरण के दौरान हस्ताक्षर का उपयोग करके कोई वास्तविक लाभ नहीं है, लेकिन एक्सेस टोकन चोरी करने से बचने के लिए वे सुरक्षित संसाधनों तक पहुंचने के लिए उपयोगी हो सकते हैं। यही कारण है कि मैक टोकन प्रकार मानक में है, section 7.1 देखें।

स्रोत

2012-06-27 08:47:47

0

एचएमएसी प्रमाणीकरण के लिए है जो यह निर्धारित करता है कि आप कौन हैं, https परिवहन की सुरक्षा के लिए है जो मध्य में एक पर सुनिश्चित करता है कि आपके परिवहन की सामग्री देख सके।

ओथ 2 प्रमाणीकरण सर्वर गुप्त कुंजी या पासवर्ड का उपयोग करता है जो यह निर्धारित करता है कि आप कौन हैं। Oauth2 संसाधन सर्वर प्राधिकरण सर्वर से टोकन का उपयोग करता है यह निर्धारित करता है कि आप कौन हैं। Https का उपयोग करना या नहीं, इस पर निर्भर करता है कि आप अपनी गुप्त कुंजी और टोकन की रक्षा करना चाहते हैं या नहीं।

स्रोत

2016-05-24 09:35:25 xiemeilong

 संबंधित मुद्दे

  • कोई संबंधित समस्या नहीं^_^