1
实施OAuth2供应商时存储客户凭证的最佳做法是什么?OAuth 2供应商:存储客户凭证
我可以将access_token/refresh_token/auth_code作为salted hash存储(就像密码一样),如果我决定每次客户端请求一个新的时,我都会发出一个新的。但在client_secret的情况下,我需要能够沿着应用程序注册页面上的client_id显示它,所以我不能只保留散列。
谢谢! Lev
A
回答
1
使用机器生成的客户机密钥只有one of many means才能对客户机应用程序进行身份验证。我认为这是你想在你的服务中使用的。在这种情况下,您已经回答了您的问题,只要您希望能够随时向应用程序开发人员传达密码,就必须以纯文本形式存储密码。
如果这不适合你,可以考虑选择一种不同的解决方案,比如让开发者像使用密码一样设置秘密,并且永远不要存储明文;或者使用私人/公钥对认证方案,如MAC。
相关问题
- 1. OAuth客户端凭证概念
- 2. 客户端凭证Oauth流 - Azure B2C
- 3. Yodlee使用OAuth或存储的凭证
- 4. Oauth的供应商
- 5. 应该从客户端向OAuth提供商发送什么
- 6. 存储LDAP凭证
- 7. CodeIgniter OAuth 2服务器/提供商
- 8. moqui客户/供应商,订单/请求
- 9. 离子2 - 存储用户凭证(本地存储器VS导航PARAMS)
- 10. 在OAuth中使用客户端凭证与门卫发布
- 11. 设置客户端凭证
- 12. ASP.net会员供应商客户端或服务器端认证
- 13. clojure oauth和凭证
- 14. 获取oauth凭证!
- 15. Java OAuth提供商
- 16. 自定义Windows 7登录凭证供应商
- 17. Java凭证存储框架
- 18. 在linux中存储凭证
- 19. 将用户凭证存储在本地存储|中反应过来,终极版
- 20. 安装看门供应商和客户不同RackSubUri
- 21. 的ASP.NET Web API OAuth用户端和供应商
- 22. OAuth 2 - '用户名和密码流'与'客户端凭证流'之间的区别是什么
- 23. 经过验证的AWS API网关,通过javascript AND凭证供应商
- 24. 客户端证书存储在哪里?
- 25. 为什么我的Git凭证不在另一个客户端时存储?
- 26. 在客户端设备上存储AWS临时凭证(STS)是否安全?
- 27. AAD microsoft graph,客户端凭证
- 28. 我应该在电子应用程序中存储OAuth客户机密钥?
- 29. Uber无效的OAuth 2.0凭据提供优步认证在Android
- 30. 存储命令行应用程序的登录凭证