Являются ли учетные данные клиента необязательными в потоке полномочий учетной записи владельца ресурса oAuth2?

Question

Являются ли учетные данные клиента необязательными в потоке полномочий учетной записи владельца ресурса oAuth2?

4.3.2 RFC 6749 (в котором описывается "Грантовый поток полномочий владельца ресурса" в Oauth2 Authorization Framework):

Если тип клиента является конфиденциальным или клиентом был выдан клиент
учетные данные (или назначенные другие требования проверки подлинности),
клиент ДОЛЖЕН пройти аутентификацию с сервера авторизации, как описано в разделе 3.2.1.

Кажется, не найдена ссылка на то, что такое "конфиденциальный клиент". Похоже, что это позволило использовать неконфиденциальные клиенты в потоке грантов учетных данных владельца ресурса (4.3). То есть клиенты, которые не смогут (и не могут) аутентифицироваться на сервере авторизации.

Правильно ли это?

+4

oauth oauth-2.0

Geert-Jan 24 окт. '13 в 13:34

источник поделиться

2 ответа

Раздел 2.3 спецификации oauth2 имеет следующий абзац:

Сервер авторизации МОЖЕТ установить метод проверки подлинности клиента с общедоступными клиентами. Однако сервер авторизации НЕ ДОЛЖЕН полагаться на аутентификацию публичного клиента с целью идентификации клиента.

Если публичный клиент определен в раздел 2.1 как:

Клиенты неспособны поддерживать конфиденциальность своих учетных данных (например, клиенты, выполняющие на устройстве, используемом владельцем ресурса, например, установленное собственное приложение или приложение на основе веб-браузера) и неспособные к безопасной аутентификации клиента через любые другие означает.

Итак, вы можете (факультативно) аутентифицировать клиента, но не считать, что это означает, что клиент - это тот, о ком он говорит.

+1

Jon 24 июл. '15 в 9:50

источник поделиться

Похожие вопросы

240

Какова цель неявного типа авторизации гранта в OAuth 2?

235

Почему в OAuth2 есть поток "Авторизация", когда поток "Неявный" работает так хорошо?

68

Как сохранить учетные данные клиента конфиденциальными, используя тип предоставления полномочий учетных записей OAuth2 Resource Owner

27

OAuth2: В чем разница между грантом разрешения авторизации JWT и мандатом Client Credentials с аутентификацией клиента JWT?

26

Разница между "потоком пароля владельца ресурса" и "Потоком учетных данных клиента"

15

Поток учетных данных владельца ресурса OAuth2

2

Как проверить области для общего клиента, используя учетные данные владельца ресурса

0

Зачем использовать серверы OAuth2 в потоке учетных данных пароля владельца ресурса

0

OAuth2 Пароль учетных данных

0

Как реализовать Spring Oauth2? Пароль учетных данных владельца ресурса корректен?

Посмотрите другие вопросы по меткам oauth oauth-2.0 или Задайте вопрос

Shaun the Sheep · Accepted Answer · 2013-10-24T13:52:46+0000

Просмотрите раздел типы клиентов, где определение "конфиденциальных клиентов" указано как:

Клиенты, способные поддерживать конфиденциальность своих учетные данные (например, клиент, реализованный на защищенном сервере с ограниченный доступ к учетным данным клиента) или способный защищать аутентификация клиента с использованием других средств.

Командная строка Cloudfoundry cf application является примером "общедоступного" (то есть неконфиденциального) клиента, который использует предоставление пароля.