https - para - que es un numero web

HMAC es para la autenticación que determina quién es usted, https es para la seguridad del transporte que garantiza que uno en el medio pueda ver el contenido de su transporte.

El servidor de autorización de Oauth 2 usa una clave secreta o una contraseña para determinar quién eres. El servidor de recursos Oauth2 usa el token del servidor de autorización para determinar quién es usted. Usar https o no depende de si desea proteger su clave secreta y sus tokens.

El estándar OAuth 2 requiere que el servidor de autorización DEBE usar HTTPS en todos sus puntos finales y el cliente DEBE usar una devolución de llamada protegida con HTTPS. Dado que el contenido y los mensajes (encabezados, parámetros de consulta y fragmentos que consideran OAuth) son conocidos solo por el servidor y el cliente, el uso de una conexión HTTPS se considera seguro. Por lo tanto, no hay ninguna ventaja al utilizar una firma separada para la solicitud de autorización, por eso dichas firmas ni siquiera se mencionan en la norma.

Sin embargo, esto no es necesariamente válido para la respuesta. Si el cliente recibe la respuesta de autorización a una devolución de llamada desprotegida, no puede verificar su validez. En tales casos, un atacante puede enviar resultados de autorización arbitrarios al cliente. Agregando una firma con los parámetros de devolución de llamada, puede evitar esto. Sin embargo, parece ser una mejor solución para usar la autenticación mutua cliente / servidor con una devolución de llamada HTTPS en su lugar.

Si bien no hay una ganancia real al usar firmas durante la autorización, pueden ser útiles para acceder a recursos protegidos para evitar el robo de tokens de acceso. Por esta razón, el tipo de token MAC está en el estándar, consulte la sección 7.1 .