모바일 플랫폼 용 OAuth2와 함께 사용자 에이전트 흐름을 사용할 때 인증 서버가 응용 프로그램의 client_id를 인증 할 수있는 방법이 없습니다. client_id에 대한 OAuth2 보안 고려 사항
이
은 OAuth2를 관리하지 않는 ...그래서, 사람이 CLIENT_ID를 복사하여 내 응용 프로그램을 가장 할 수 있습니다 (그래서 내 대신 모든 액세스 토큰을 얻을), 이것은, 페이스 북, 포 스퀘어에 적용 할 수있다? 또는 나는 무엇인가 놓쳤다?
웹 응용 프로그램 (웹 서버 흐름)의 경우 액세스 토큰이 서버쪽에 저장되고 클라이언트는 비밀 키를 사용하여 인증됩니다.
링크 및 설명 주셔서 감사합니다. 현재의 초안에서 분명히 알 수 있습니다 : http://tools.ietf.org/html/draft-ietf-oauth-v2-22#section-1.3.2. 이것은 바뀔 것이기를 희망합니다. 그렇지 않으면 우리는 client_id의 악의적 인 사용을 (가능합니까?) 감지하기 위해 인증 서버를 신뢰할 수밖에 없습니다 .... – davecon
맞습니다. 실제로 Resource Server (RS - 대상 OAuth가 RESful API로 보호 됨)에서 비정상적인 트랜잭션에 사용되는 client_id 이상의 악의적 인 사용을 탐지하는 것은 매우 까다로운 작업입니다. –