Sichere OAuth 2.0 Ressourcen Besitzer Passwort Credentials Typ

Question

gewähren, um einen Zugriffstoken in Ressourceneigentümer Kennwortdaten gewähren von OAuth Typ 2.0 zu erhalten, müssen Sie so etwas wie POST

https://oauth.example.com/token?grant_type=password&username=USERNAME&password=PASSWORD&client_id=CLIENT_ID 

I don‘ Wenn Sie einen Benutzernamen und ein Passwort im Klartext (zusätzliche Sicherheitsebene) posten, was sind die empfohlenen Vorgehensweisen, da wir SSL verwenden werden?

Ich dachte daran, eine Nonce zuerst vom Server zu bekommen und sie dann zu verwenden, um den Benutzernamen und das Passwort in der POST-Anfrage zu hashen.

Answer 1

Ein paar Dinge zuerst zu beachten:

1. der offizielle Name des Stipendiums Typ, den Sie beschreiben, ist Ressourceneigentümer Passwort Credentials gewähren

2. die Probe Sie präsentieren zeigt Parameter als Teil der Abfrage-String Dies wird normalerweise mit einer HTTP-GET-Anforderung verwendet. Ein echter POST würde die Parameter im HTTP-Body darstellen, und bei Verwendung von SSL sind die Parameter nicht außerhalb der beiden Enden der Verbindung zugänglich so grundsätzlich nur sichtbar für Sender und Empfänger, die für die meisten Anwendungsfälle sind in Ordnung

Das ROPC Stipendium der OAuth-Spezifikation definiert ist und übergeben die Anmeldeinformationen des Benutzers im Klartext. Ihr Vorschlag ist eine (wohl relativ kleine) Sicherheitsverbesserung, da sie keine Geheimnisse wortwörtlich weitergeben würde, sondern nur den "Besitznachweis" dieses Geheimnisses.

Eine Änderung des vorhandenen Nachrichtenflusses würde jedoch auf der Unterstützung einer nicht standardmäßigen Protokollfunktion sowohl auf der Clientseite als auch auf der Seite des Autorisierungsservers beruhen, die außerhalb der Spezifikation liegt und daher nur bei der Steuerung funktionieren kann beide Seiten.