0
我正在實施一個OAuth安全API,併爲每個客戶端分配一個使用者密鑰和密鑰。我不想爲客戶分配一個單獨的API密鑰,我不得不跟蹤。我認爲身份驗證是這樣發生的:他們生成他們的有效載荷並用他們的密鑰和祕密簽名,然後傳輸密鑰。這個oauth認證方法是否安全?
在服務器上,我存儲客戶端密鑰,由他們的密鑰加密。當我收到有效載荷時,我使用他們的密鑰查找祕密,然後用該祕密對有效載荷進行解碼。所以祕密沒有傳播,但關鍵是。
所以我的問題是:這是一種安全的方式來處理這種情況,還是我錯過了重要的東西在這裏?
我認爲TLS只是一個推薦,而不是要求。但是說出於某種原因,我必須通過普通HTTP執行此操作。那麼也許它不符合OAuth 2.0標準,但是這個特別的協議是否安全呢?我會在這裏錯過哪些漏洞? –
您的客戶不會知道它正在與真正的授權服務器進行通話。 –
我可以看到,如果請求到了錯誤的地方,對客戶來說可能會有什麼不好。但是有沒有什麼方法可以讓流氓客戶傷害**我? –