|
Пытаюсь осилить oath 2.0
|
||
|---|---|---|
Гость
|
||
|
scf,
scf.к. список разрешенных редиректов для клиента фиксирован, т.е. левый сайт не получит токены Кто их фиксирует? где это делается тут https://github.com/eugenp/tutorials/tree/master/spring-security-sso авторAS просит RO залогиниться, а потом подтвердить выдачу прав для клиента залогиниться и тем самым подтвердить? я просто после ввода логина и пароля уже залогинен на сайте если взять пример выше и никто меня не спрашивает о явной выдаче прав. в результате логина клиент получает код. по коду клиент уже без участия браузер выполняет запрос и получает токен. а почему код не секретен? вот я нашёл кусок кода на сервере который получает запрос на токен и в запросе такие вот параметры:  По сути только код. Или вы имеете ввиду, что однажды его использовав ничего не получится использовать его второй раз? Коды даются по логину и паролю, которых никто не знает. Правильно я понимаю, что если мы получили код, но по какой-то причине не сделали запрос на токен, то злоумышленник сп#здивший этот код сможет получить токен если угадает grant_type и redirect_uri ? |
||
| 13.04.2018, 19:38 |
|
|
|
Пытаюсь осилить oath 2.0
|
||
|---|---|---|
Участник
Откуда: Bay Area, CA
Сообщения: 2 050 |
||
|
У меня есть статья как использовать Oath 2 для сервера UUA.
Я попытался максимально просто объяснить с использованием PostMan как каждая авторизационная схема работает. Возможно Вам будет проще просто посмотреть через постмен по картинкам чтоб боле менее было понятно. Так же для каждой схемы я даю вменяемые комментарии почему это используется и при каких обстоятельствах. https://vyatkins.wordpress.com/2017/11/11/cloud-security-oauth-2-0-protocol-and-predix-uaa/ Вообще обычно большенство бек-енд разработчиков завершают изучения протокола на grant_type=client_credencials  |
||
| 14.04.2018, 20:45 |
|
|
|
Пытаюсь осилить oath 2.0
|
||
|---|---|---|
Гость
|
||
|
Sergunka,
Authorization Code Grant - понятно приложение редиректит меня на авторизационный сервер, где я ввожу креды. В ответ мой браузер получает Grant Code. Этот код получает приложение и в обмен на него оно получает от авторизационного сервера access токен Implicit Grant не понял, объясните плиз  Кто есть кто на этой картинке в термина объявленных в начале статьи. Что за сообщения шлются?(что за client id?) Resource Owner Password Credentials Grant Просто отдаём приложению(клиенту) логин и пароль. Оно уже по логину и паролю получает токен. Выглядит как-то глупо. Client Credentials Grant Выглядит так же как и предыдущее(Resource Owner Password Credentials Grant) только разница в том, что даём не логин и пароль, а какой-то Authorization . Не понятно откуда он берётся. Extension Grants Это требует интеграции с неким внешним сервисом? google authenticator? двухфакторная аутентификация? Некий сервис интегрирован например с Okta. Чтобы зайти в приложение мне надо ввести логин и пароль на сайте, потом меня редиректит на Okta где я ещё должен ввести код из google authenticator и после успешного ввода меня вернёт на основной сайт. Только я забыл по какому коду я регистрируюсь в гугл аутентификаторе |
||
| 16.04.2018, 17:17 |
|
|
