OAuth - Verbrauchergeheimnis in Open-Source-Anwendungen

Ich erstelle ein Wordpress-Plugin für die gemeinsame Verwaltung eines Twitter -Konto. Ich möchte dem Benutzer erlauben, Konten über das Admin-Panel ähnlich wie twitterfeed.com hinzuzufügen.OAuth - Verbrauchergeheimnis in Open-Source-Anwendungen

Allerdings ist die einzige Art, wie ich es zu tun sehen kann, ist den Benutzer zu bekommen, um ihr Konto zu unterzeichnen in die Anwendung unter einem eindeutigen Namen und Paste in dem Consumer-Key und Secret meine Anwendung zu registrieren.

Was die Sicherheit Auswirkungen von einfach Verteilung eines einzelnen Consumer-Key und Geheimnis mit meinem Plugin sind, so, dass ich die Anfrage Token und Access Token erhalten können und minimieren die Aufwand durch den Benutzer erforderlich?

Quelle

2010-10-30 bcoughlan

Wie ich es verstehe, ist das größte Problem (ich bin mir nicht sicher, dass es ein Sicherheitsproblem ist), dass jemand Ihren Schlüssel/Secret unangemessen verwendet (sagen wir eine Spamming-Anwendung), wodurch er widerrufen wird. An diesem Punkt kann sich Ihr Plug-in nicht mehr authentifizieren und Sie müssen ein neues erstellen, es in Ihr Plug-in integrieren und alle Benutzer zur Aktualisierung auffordern. Welches ist wahrscheinlich nicht ideal ...

Ars Technica darüber ein ziemlich gutes write-up hatte here

Quelle

2010-10-30 05:26:32 Dusty

Ich traf hier Suche, wie man Twitter Verbraucher Geheimnis zu schützen. Diese Diskussion ist jetzt fast 2+ Jahre alt. Ich frage mich, warum Twitter oauth 2.0 noch nicht unterstützt, das Konzept des Zwischenauthentifizierungscodes hat und das Verbrauchergeheimnis nicht erfordert, um mit dem beweglichen Klienten zu sein. irgendwelche Einsichten? – Sushil

@Sushil, aus dem gleichen Grund, warum sie IPv6 nicht unterstützen: Es hätte mehr Ressourcen benötigt, als sie investieren würden, um es bis jetzt zu implementieren, aber sie könnten es später beheben. – Magnus

OAuth - Verbrauchergeheimnis in Open-Source-Anwendungen

Antwort

Verwandte Themen