oauth-2.0 - 为什么 Oauth2.0 说 "Client Password in request body not recommended"?

标签 oauth-2.0 facebook-login azure-active-directory google-oauth

Client authentication of oauth spec indicates the following in section 2.3.1: 

   Including the client credentials in the request-body using the two
   parameters is NOT RECOMMENDED and SHOULD be limited to clients unable
   to directly utilize the HTTP Basic authentication scheme (or other
   password-based HTTP authentication schemes).

我不明白为什么不推荐这样做。 Http Basic Auth 比这种方法有哪些更好的地方?谁能解释一下吗?

最佳答案

POST 请求参数实际上是 OAuth 2.0 特定的,通常会出现在应用程序层和服务器/应用程序日志中,而 HTTP 基本身份验证是通用的,并且广泛部署在较低的基础设施级别(即系统的 HTTP 堆栈)上,希望有一些围绕它们的安全措施已经到位。

因此,它的值可能会被 HTTP 服务器本身消耗和删除,并防止它爬升到更高级别以及可能不太安全/可信的应用程序及其日志文件。

关于oauth-2.0 - 为什么 Oauth2.0 说 "Client Password in request body not recommended"?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44075436/

上一篇:sql-server - SQL Server 恢复数据库错误

下一篇:sql - 在 T SQL 中向日期添加月份

相关文章:

android - "Argument ' 上下文 ' cannot be null"

facebook - 在智能电视/控制台上使用设备登录

asp.net-core - 如何在服务器端交换授权 token

asp.net - Facebook 身份验证与 ASP.NET Core 2.1 : OAuth "Facebook Platform" "invalid_code" "This authorization code has been used."

java - 使用 Gmail 发送电子邮件时在 Java 中设置发件人姓名

azure - 范围未添加到从 Azure Ad 返回的访问 token

Azure AD ID token 在 ID token 中返回重复的 AD 组

oauth - 刷新 token 会过期吗?

ios - 查看和使用 Facebook 登录用户数据

Azure Key Vault如何识别访问策略中分配的不同身份

©2024 IT工具网  联系我们