Блог

Согласно RFC-6750 токен безопасности, обладающий тем свойством, что любая сторона, владеющая токеном («предъявитель»), может использовать токен любым способом, которым может любая другая сторона, владеющая им (без демонстрации владения криптографическим ключом).

• Q1) Разве это определение не применимо к имени пользователя и паролю также потому, что любой, у кого есть имя пользователя и пароль, может использовать его так же, как и любая другая сторона (возможно, украденная имя пользователя и пароль), владеющая им, может? В обоих случаях (без демонстрации владения криптографическим ключом). Это потому, что токен уже содержит разрешения? Большое спасибо

Как вы говорите, оба могут использоваться кем-то, кто их крадет, но ключевые моменты токенов доступа заключаются в том, что:

• Они недолговечны (~ 60 минут), в отличие от паролей
• Они представляют собой только подмножество пользовательских разрешений, необходимых конкретному приложению

КРАЖА ТОКЕНОВ ДОСТУПА

Токены доступа также нелегко украсть. Злоумышленник может получить токен доступа для своего собственного входа, но это не позволит им каким-либо образом повысить свои привилегии, если ваши пользовательские интерфейсы и API надежно закодированы.

УПРАВЛЕНИЕ ПАРОЛЯМИ

Украденный пароль гораздо серьезнее, чем украденный токен, поскольку пароль представляет собой все, что пользователь может сделать, возможно, во многих приложениях.

Технологии OAuth не позволяют использовать пароли в приложениях по вышеуказанным причинам. Ваше приложение никогда не должно видеть пароль пользователя и не несет ответственности за какие-либо уязвимости пароля.

Вместо этого пароли поддерживаются специализированным программным обеспечением поставщика удостоверений. Чаще всего компании подключают недорогое облачное решение, в котором управление паролями разработано экспертами по безопасности.