OAuth 2 제공자 : 클라이언트 자격증 명 저장

Question

OAuth2 제공자 구현시 클라이언트 신임 정보를 저장하는 가장 좋은 방법은 무엇입니까?

클라이언트가 새 암호를 요청할 때마다 암호를 해독하기로 결정할 때 salt_type/refresh_token/auth_code를 암호처럼 저장할 수 있습니다. 그러나 client_secret의 경우 앱 등록 페이지에서 client_id와 함께 표시 할 수 있어야하므로 해시 만 유지할 수는 없습니다.

감사합니다. Lev

Answer 1

시스템 생성 클라이언트 비밀 번호를 사용하면 클라이언트 응용 프로그램을 인증하는 데에만 one of many means이 사용됩니다. 이것이 당신이 당신의 서비스에서 사용하기를 원하는 것이라고 가정합니다. 이 경우 이미 질문에 대답 했으므로 언제든지 응용 프로그램 개발자에게 전달할 수 있도록하려면 비밀을 일반 텍스트로 저장해야합니다.

이 방법을 사용할 수없는 경우 개발자가 암호를 설정하는 것처럼 개발자가 암호를 설정하도록하고 다른 응용 프로그램을 선택하거나 일반 텍스트를 저장하지 마십시오. MAC과 같은 개인/공개 키 쌍 인증 체계를 사용하십시오.