Différence entre les “Ressources Propriétaire de Flux de mots de Passe” et le “Client les informations d'Identification de Flux”

La différence entre les "Ressources Propriétaire de Flux de mots de Passe" et le "Client les informations d'Identification de Flux" ne semble pas clair pour moi. Le premier semble en avant le mot de passe des informations d'identification pour le serveur à des fins de vérification, tandis que les seconds ne s'authentifier auprès du serveur, d'une certaine façon aussi, mais la spec ne précise pas quelle méthode est utilisée ici. Est ce flux conçu pour les cookies de session? La spec n'est pas vraiment fournir un clair de cas d'utilisation.

OAuth 2.0 spec:

 +---------+                                  +---------------+
 |         |                                  |               |
 |         |>--(A)- Client Authentication --->| Authorization |
 | Client  |                                  |     Server    |
 |         |<--(B)---- Access Token ---------<|               |
 |         |                                  |               |
 +---------+                                  +---------------+

                 Figure 6: Client Credentials Flow

et

 +----------+
 | Resource |
 |  Owner   |
 |          |
 +----------+
      v
      |    Resource Owner
     (A) Password Credentials
      |
      v
 +---------+                                  +---------------+
 |         |>--(B)---- Resource Owner ------->|               |
 |         |         Password Credentials     | Authorization |
 | Client  |                                  |     Server    |
 |         |<--(C)---- Access Token ---------<|               |
 |         |    (w/Optional Refresh Token)   |               |
 +---------+                                  +---------------+

        Figure 5: Resource Owner Password Credentials Flow
InformationsquelleAutor ln e | 2014-02-27
  1. 38

    Le client les informations d'identification de flux nécessite uniquement la client_id et client_secret. Le Propriétaire de la Ressource débit nécessite le mot de passe utilisateur.

    Les informations d'identification du client débit permet à une application d'obtenir un jeton w/out le contexte de l'utilisateur.

    • Mais encore difficile de savoir comment obtenir de l'Autorisation (client_id et client_secret)
    • Veuillez noter que RO flux n'est pas recommandé plus scottbrady91.com/OAuth/...
    InformationsquelleAutor user3287829
  2. 22

    Un bon exemple de ceci serait la suivante:

    Supposons que vous êtes un statistiques de la société appelée AllStats qui dispose de sa propre base d'utilisateurs, où chaque utilisateur dispose de son propre nom d'utilisateur et mot de passe. AllStats a son propre site web qui dogfoods sa propre API. Cependant, AllStats veut maintenant sortir une application mobile.

    Depuis l'application mobile sera une 1ère partie de l'application (voir: développé par AllStats), le Propriétaire de la Ressource Flux de mots de Passe fait beaucoup de sens. Vous aurez envie à l'utilisateur d'obtenir un écran (nom d'utilisateur, mot de passe) que les flux avec l'app au lieu de coups de pied sur un auth server (et puis de nouveau dans l'app). Les utilisateurs de confiance de l'application lorsqu'ils entrer leur nom d'utilisateur/mot de passe parce que c'est une 1ère partie app.

    J'aime regarder le Propriétaire de la Ressource Flux de mots de Passe comme un flux de cette 1ère partie de l'app et les développeurs de l'utiliser, alors que le Client les informations d'Identification de Flux, un flux de 3ème partie, les développeurs d'applications serait de l'utiliser.

    Imaginez si le Facebook app requis pour utiliser les informations d'Identification du Client Débit au lieu de simplement vous présenter avec un nom d'utilisateur/mot de passe formulaire. Semblerait un peu bizarre, non?

    Maintenant, imaginez si vous téléchargez une 3ème partie app qui avait Facebook de l'intégration. J'imagine que vous (et la plupart des gens) serait très circonspect si l'application vous demande d'entrer un nom d'utilisateur/mot de passe au lieu d'utiliser les informations d'Identification du Client Débit de l'INTERFACE utilisateur.

    FWIW, ce n'est pas à dire que la 1ère partie apps ne pas utiliser les informations d'Identification du Client Débit. Mais plutôt d'essayer et peindre un scénario réel (et l'ensemble de la généralisation) de quand les Ressources Propriétaire de Flux de mots de Passe serait utilisé.

    • Je pense que vous êtes à confondre les "informations d'identification du Client" flux avec le "code d'Autorisation" de la subvention. En fait, les "informations d'identification du Client" subvention ne demande même pas de nom d'utilisateur/mot de passe et n'a pas de "client des informations d'identification de l'INTERFACE utilisateur" comme vous l'avez mentionné, car il est utilisé pour la machine-to-machine d'authentification.
    • la partie sur la 1ère partie des applications et des Ressources Propriétaire de Flux de mots de Passe est clair et correct, mais peut-être que vous avez confondu avec informations d'Identification du Client Débit avec l'Implicite Débit ?
    • Je ne préfère pas utiliser de Ressources Propriétaire de Mot de passe d'une application Mobile parce que C'est un public Client (votre client secret pourrait être révélé à des ressources propriétaire du site). De sorte que les mauvais gars, pouvez utiliser cette Ressource Mot de passe du Propriétaire de débit de faire une attaque par force brute attaque de mots de passe. Je pense que le Mot de passe Propriétaire Débit doit être utilisé en 1ère application en tant que client privé uniquement.
    • Ok, donc je me suis mise en œuvre de la 1ère partie de l'application mobile pour mes besoins professionnels. L'application Mobile est une sorte de privé - il est développé au sein de mon entreprise. J'ai aussi eu de l'application web avec les mêmes caractéristiques. J'ai besoin de l'API pour le niveau suivant du système de couches - puis-je utiliser des ressources propriétaire de flux de mots de passe pour l'authentification ? Je sais OAuth définit une autorisation, pas d'authentification, mais quel est le problème avec cette solution ? Merci
    InformationsquelleAutor StephenPAdams
  3. 2

    Outre user3287829 de réponse. Je tiens à ajouter le suivant.

    Comme le RFC dit à propos des informations d'Identification du Client de subvention.

    Le client fait une demande pour le jeton d'extrémité par l'ajout de l'

    paramètres suivants à l'aide de la "application/x-www-form-urlencoded"

    format par l'Annexe B avec un codage de caractères UTF-8 dans le HTTP

    demande entité-corps:

    grant_type
    NÉCESSAIRE. La valeur DOIT être définie sur "client_credentials".

    portée
    FACULTATIF. La portée de la demande d'accès, tel que décrit par
    La Section 3.3.

    Le client DOIT s'authentifier auprès du serveur d'autorisation comme

    décrit dans la Section 3.2.1.

    Par exemple, le client fait la suite de la requête HTTP à l'aide

    transport layer security (avec des sauts de ligne supplémentaires à des fins d'affichage
    uniquement):

     POST /token HTTP/1.1
 Host: server.example.com
 Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
 Content-Type: application/x-www-form-urlencoded

 grant_type=client_credentials

    Le serveur d'autorisation DOIT authentifier le client.

    Le client doit être enregistré dans le serveur d'autorisation à l'avance. et Authorization comprend les informations d'identification du client qui sera authentifié par le serveur.

    InformationsquelleAutor Joe.wang
  4. 0

    en outre, en termes d'audit, de ressources propriétaire est la meilleure façon de faire, parce que vous pouvez les identifier par access_token spécifiques de l'utilisateur est d'appeler votre api par le biais de l'application cliente, tout en client_credential identifie uniquement le client de l'application

    InformationsquelleAutor Eduardo Fabricio