Pourquoi est-OAuth conçu pour avoir un jeton de demande et le jeton d'accès?

Dans le protocole d'authentification OAuth, un consommateur de service va demander à l'utilisateur d'autoriser un jeton de demande dans le fournisseur de service de domaine, les échanges de la jeton de demande pour un jeton d'accès par le fournisseur de service.

Je me demandais pourquoi ce Protocole est conçu pour avoir deux jetons dans le protocole.

Pourquoi ne pas simplement utiliser un seul jeton dans ce processus? L'utilisateur autorise le jeton, et le consommateur de service serait de récupérer des informations à partir du fournisseur avec le jeton.

InformationsquelleAutor Morgan Cheng | 2010-08-27
  1. 28

    Pour l'ergonomie et des raisons de sécurité.

    De la Guide du débutant pour OAuth:

    https://hueniverse.com/beginners-guide-to-oauth-part-iii-security-architecture-e9394f5263b5

    ... Alors que pour la plupart d'un artefact de la façon dont le protocole OAuth spécification évolué, les deux-Jeton propose la conception de certains de la convivialité et de fonctionnalités de sécurité qui fait qu'il vaut la peine de rester dans le cahier des charges. OAuth fonctionne sur deux canaux: un avant-canal qui est utilisé pour susciter l'Utilisateur et en demander l'autorisation, et un arrière-canal utilisé par le Consommateur d'interagir directement avec le Fournisseur de Service. En limitant le Jeton d'Accès à l'arrière-canal, le Jeton lui-même reste cachée de l'Utilisateur. Cela permet le Jeton d'Accès pour effectuer des significations spéciales et d'avoir une taille supérieure à celle de l'avant-Demande de canal de Jeton qui est exposée à l'Utilisateur lors de la demande d'autorisation, et dans certains cas doit être entré manuellement (appareil mobile ou set-top box).

    ===

    Note que cette question est un dupe de

    Pourquoi devons-nous "changement temporaire des informations d'identification pour jeton d'identification" dans OAuth?

    Si l'explication de la Guide du Débutant n'est pas clair, alors allez lire @npdoty de prendre sur elle .

    • Lien Guide du Débutant à OAuth semble cassé. Aussi le terme de “jeton de demande” semble actuellement pas utilisé. Est-il de même pour le code d'autorisation à partir de Le OpenIdConnect 1./OAuth2 de documentation?
    InformationsquelleAutor Bert F
  2. 1

    De L'Officiel OAuth 1.0 Guide

    Le protocole d'authentification OAuth permet aux sites web ou
    les applications (les Consommateurs) pour accéder à
    Ressources protégées à partir d'un service web
    (Prestataire de Service) via une API, sans
    obligeant les Utilisateurs à divulguer leurs
    Service de Fournisseur d'informations d'identification pour l'
    Consommateurs. Plus généralement, OAuth
    crée un librement implémentables et
    méthodologie générique de l'API
    l'authentification.

    Un exemple de cas d'utilisation permet à
    service d'impression printer.example.com
    (le Consommateur), à accès privé
    les photos stockées sur photos.example.net
    (le Prestataire de Services) sans
    demander aux Utilisateurs de fournir leur
    des photos.example.net les informations d'identification de
    de l'imprimante.example.com.

    OAuth ne nécessite pas un utilisateur spécifique
    interface ou schéma d'interaction, ni
    ne précise pas comment les Fournisseurs de Services
    authentifier les Utilisateurs, faire de la
    le protocole idéal pour les cas
    où les informations d'authentification sont
    indisponible pour le Consommateur, tels que les
    avec OpenID.

    OAuth vise à unifier l'expérience et
    mise en œuvre déléguée web
    service d'authentification en un seul,
    piloté par la communauté de protocole. OAuth
    s'appuie sur les protocoles et les meilleures
    des pratiques qui ont été indépendamment
    mis en œuvre par les différents sites internet. Un
    standard ouvert, soutenu par de grandes et
    les petits fournisseurs, de promouvoir l'
    cohérente et fiable de l'expérience pour
    les deux développeurs d'applications et le
    les utilisateurs de ces applications.

    De résumer ce qu'a dit en gros l'utilisateur donne un nom d'utilisateur et un mot de passe pour l'authentification OAuth jeton de demande. Vous donner le service qui veut se connecter à quelque chose en utilisant OAuth le jeton de demande et qu'ils reçoivent le jeton d'accès. Cela fait en sorte que le service ne voit jamais/utilise le nom d'utilisateur et mot de passe.

    • Demande de jeton est généré par le Consommateur de Service. Nom d'utilisateur et le mot de passe ne peut pas être restauré à partir de la demande de jeton. Alors pourquoi ne pas utiliser la demande de jeton comme un jeton d'accès?
    • C'est ce que xAuth, mais je ne peux pas le trouver n'importe quelle raison.
    • xAuth demande à l'utilisateur de partager ses informations d'identification (nom d'utilisateur et mot de passe) avec le client app. OAuth est conçu de telle sorte que ce n'est pas nécessaire.
    InformationsquelleAutor Conceited Code