gpt4 book ai didi

oauth-2.0 - 为什么 OAuth 中的客户端 key 不加密?

转载 作者:行者123 更新时间:2023-12-02 23:44:25 25 4
gpt4 key购买 nike

我最近一直在研究OAuth服务器的实现。我注意到的一件事是所有服务器实现都不会在服务器端加密客户端 key 。我确实明白它不应该是密码,但它被用作密码。如果是这样,我们为什么不加密它呢?

我唯一能想到的是它无法加密,因为 OAuth 服务器应该在 UI 上向客户端显示客户端 secret 。

P.S:它属于stackoverflow还是serverfault..?

最佳答案

这是一个实现决策,但只要授权服务器不使用 HSM 作为加密 key ,那么使用驻留在同一文件系统上的另一个 key 来加密 key 就没有多大意义。

在 GUI 中显示它绝对不是不加密它的原因(因为服务器可以在显示它之前解密它),甚至没有必要在 UI 中显示它(可以由应用程序开发人员作为输入提供) )。

但也许您指的是单向哈希?在这种情况下,我同意授权服务器应将这些客户端 secret 视为密码并对它们进行哈希处理,或者至少提供这样做的选项。

但值得一提的是,客户端 secret 在丢失时可以被认为危害较小,因为它们对于客户端/AS 关系来说是唯一的。暴露用户密码的不好的一面是它们通常可以用于对抗其他服务提供商(使用相同的用户名/电子邮件地址)。这不适用于客户端 secret ,人们可能会争辩说,在很多情况下(RS 和 AS“接近”)能够访问客户端 secret 所在的后端,就不再需要了解客户端 secret 本身。

关于oauth-2.0 - 为什么 OAuth 中的客户端 key 不加密?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30086829/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com