telefono que para numero llamar llamada hipervinculo desde boton https oauth-2.0 hmac

https - para - que es un numero web



¿Es necesario HMAC si todas las llamadas a la API se realizan a través de https? (2)

Si todas las llamadas api se envían a través de https, ¿HMAC agrega alguna seguridad adicional? Por ejemplo, en oauth 2, el cliente envía su clave secreta al proveedor sin ningún tipo de hash. ¿Se considera esto seguro porque está sobre https? Si bien no es estrictamente, ¿el uso de HMAC en esta llamada haría que auth 2 sea más seguro? Si es así, ¿por qué no es una parte estándar de oauth 2?


HMAC es para la autenticación que determina quién es usted, https es para la seguridad del transporte que garantiza que uno en el medio pueda ver el contenido de su transporte.

El servidor de autorización de Oauth 2 usa una clave secreta o una contraseña para determinar quién eres. El servidor de recursos Oauth2 usa el token del servidor de autorización para determinar quién es usted. Usar https o no depende de si desea proteger su clave secreta y sus tokens.


El estándar OAuth 2 requiere que el servidor de autorización DEBE usar HTTPS en todos sus puntos finales y el cliente DEBE usar una devolución de llamada protegida con HTTPS. Dado que el contenido y los mensajes (encabezados, parámetros de consulta y fragmentos que consideran OAuth) son conocidos solo por el servidor y el cliente, el uso de una conexión HTTPS se considera seguro. Por lo tanto, no hay ninguna ventaja al utilizar una firma separada para la solicitud de autorización, por eso dichas firmas ni siquiera se mencionan en la norma.

Sin embargo, esto no es necesariamente válido para la respuesta. Si el cliente recibe la respuesta de autorización a una devolución de llamada desprotegida, no puede verificar su validez. En tales casos, un atacante puede enviar resultados de autorización arbitrarios al cliente. Agregando una firma con los parámetros de devolución de llamada, puede evitar esto. Sin embargo, parece ser una mejor solución para usar la autenticación mutua cliente / servidor con una devolución de llamada HTTPS en su lugar.

Si bien no hay una ganancia real al usar firmas durante la autorización, pueden ser útiles para acceder a recursos protegidos para evitar el robo de tokens de acceso. Por esta razón, el tipo de token MAC está en el estándar, consulte la sección 7.1 .