0
使用OAuth2資源所有者密碼流時,不需要客戶端ID和密碼。因此,阻止另一個第三方應用程序僅僅詢問用戶的用戶名/密碼組合並使用相同的流程是什麼?OAuth2資源所有者密碼流安全
A
回答
0
恕我直言,RFC 6749(OAuth 2.0)和RFC 6819(OAuth 2.0安全性)在令牌端點包含客戶端身份驗證的輕微矛盾。我個人的結論如下。
授權服務器不應該要求公衆客戶端發送的客戶端憑證令牌端點,但實現不禁要求公共客戶端發送的客戶端ID任何grant_type是(如果implmentations要支持refresh_token)。
如果我不得不實施令牌端點資源所有者密碼憑據格蘭特,我會要求每個客戶端發送它的客戶端ID雖然規格不要求未發出客戶端機密在被認證公共機構提供服務資源所有者密碼憑證授權中的令牌端點。
相關問題
- 1. Microsoft OneDrive資源所有者密碼流
- 2. Oauth2如何保護資源所有者?
- 3. Dotnetopenauth - 資源所有者密碼憑據與WebAPI流動
- 4. OAuth資源所有者密碼流和HMAC
- 5. 如何在使用OAuth2的資源所有者密碼憑證授予類型
- 6. Google OAuth2.0是否支持資源所有者密碼憑證流的OAuth流?
- 7. 客戶端憑證在oAuth2資源所有者密碼憑證授權流程中是否可選?
- 8. Symfony2包中是否支持OAUTH2的'資源所有者密碼憑證授權'認證流程?
- 9. OpenId連接隱式流與資源所有者密碼證書授予
- 10. Identity Server的刷新令牌資源所有者密碼憑據流
- 11. 在資源所有者密碼流中,用戶是否可以處理範圍?
- 12. 在Oauth2orize模塊中使用資源所有者密碼
- 13. 的OAuth資源所有者密碼的Java
- 14. Yammer OAUTH 2.0資源所有者密碼憑證授權
- 15. 使用IdentityServer4和資源所有者密碼授予
- 16. OAuth2密碼憑證流程
- 17. Spring Boot Oauth2驗證資源所有者的訪問令牌密碼憑據授予
- 18. 授權碼流與資源所有者密碼津貼爲信任的應用程序
- 19. 資源所有者授權流程的Identity Server使用案例
- 20. 使用資源所有者流返回刷新令牌
- 21. 特定IP的IdentityServer資源所有者流程
- 22. 使用資源所有者流來發布cookie
- 23. 如何測試spring-security-oauth2資源服務器的安全性?
- 24. 訪問不安全資源時訪問令牌無效oauth2
- 25. Spring Boot安全表單登錄和Oauth2資源服務器
- 26. Oauth2資源服務器重疊Spring安全配置
- 27. 使用資源所有者密碼在身份服務器中獲取聲明
- 28. CAS是否支持OAuth資源所有者密碼憑據授權?
- 29. LinkedIn是否支持OAuth 2.0「資源所有者密碼憑據」授予類型?
- 30. 框支持授予類型「資源所有者密碼憑證授權」嗎?