Why does the OAuth 2.0 specification prevent re-use of Authorization codes? -

-

OAuth 2.0 युक्ति में, निम्नलिखित वाक्य का सेट है:

प्राधिकरण कोड को लीक के जोखिम को कम करने के लिए जारी किए जाने के शीघ्र ही समाप्त होने चाहिए। 10 मिनट की अधिकतम आधिकारिकता कोड की सिफारिश की गई है। ग्राहक प्राधिकरण कोड को एक से अधिक बार उपयोग नहीं करना चाहिए। यदि एक प्राधिकरण कोड एक से अधिक बार प्रयोग किया जाता है, तो प्राधिकरण सर्वर अनुरोध को अस्वीकार करना चाहिए और उस प्राधिकरण कोड के आधार पर पहले जारी किए गए सभी टोकन (जब संभव हो) रद्द करना चाहिए।

मेरा प्रश्न यह है कि क्यों चाहिए प्राधिकरण कोड केवल एक बार इस्तेमाल किया जा सकता है? यह एक एसिड डेटाबेस का उपयोग करने के लिए प्राधिकरण सर्वर के कार्यान्वयनकर्ताओं को मजबूर करता है, जो स्केलेबिलिटी समस्याओं का परिचय देता है। इस बाधा का विश्राम पूरी तरह से भंडारण को छोड़ने की इजाजत देता है।

मैं देख सकता हूं कि ऑथोड कोड का पुनः उपयोग करने का मतलब यह होगा कि अगर कोई दुर्भावनापूर्ण एजेंट एक असभ्य कोड पकड़ सकता है, तो उसे लाभ मिल सकता है संरक्षित संसाधनों तक पहुंच लेकिन कुछ लेन-देन के लिए ओएथ 2.0 जनादेश टीएलएस और सभी के लिए यह सिफारिश करता है, जो कोड चोरी के जोखिम को कम करता है, और मानता है कि एक ऐसा एजेंट है जो चैनल को सुन सकता है इस आवश्यकता से सेवा की अस्वीकृति की संभावना का परिचय होता है (एजेंट केवल जमा कर सकता है किसी भी एथेट कोड को उन्होंने पाया।) परिस्थितियों के आधार पर, DoS गोपनीयता के उल्लंघन से अधिक या कम खतरा हो सकता है।

आशा है कि आपके प्रश्न का कारण खोजने में मददगार होगा: प्राधिकरण प्रक्रिया दो प्राधिकरण सर्वर समापन बिंदुओं (एचटीटीपी संसाधन) का उपयोग करती है:

ओ प्राधिकरण समापन बिंदु - प्राप्त करने के लिए ग्राहक द्वारा उपयोग किया जाता है प्राधिकरण उपयोगकर्ता के एजेंट रीडायरेक्शन के माध्यम से संसाधन स्वामी से

ओ टोकन एंडपॉइंट - एक पहुंच टोकन के लिए एक प्राधिकरण कोड का आदान-प्रदान करने के लिए ग्राहक द्वारा उपयोग किया जाता है, आमतौर पर क्लाइंट प्रमाणीकरण के साथ

इसके अनुसार भी

क्लाइंट प्रमाणीकरण महत्वपूर्ण है जब एक प्राधिकरण कोड असुरक्षित चैनल पर पुनर्निर्देशन समापन बिंदु पर संचारित होता है या जब पुनर्निर्देशन यूआरआई पूर्ण में पंजीकृत नहीं होता है।

ऊपर प्राप्त करने के लिए यह पांच कदम यहाँ छवि विवरण दर्ज करें < / P>

चित्र में सचित्र प्रवाह में निम्नलिखित कदम शामिल हैं:

(ए) ग्राहक संसाधन मालिक के उपयोगकर्ता-एजेंट को प्राधिकरण समापन बिंदु पर निर्देशित करके प्रवाह को आरंभ करता है। क्लाइंट में अपने क्लाइंट पहचानकर्ता, अनुरोधित क्षेत्र, स्थानीय स्थिति, और एक रीडायरेक्शन यूआरआई शामिल होता है, जिसके लिए प्राधिकरण सर्वर उपयोगकर्ता-एजेंट वापस प्रवेश के बाद एक बार प्रवेश (या अस्वीकृत) भेजेगा।

(बी) प्राधिकरण सर्वर संसाधन मालिक को प्रमाणित करता है (उपयोगकर्ता-एजेंट के माध्यम से) और यह स्थापित करता है कि संसाधन मालिक अनुदान देता है या ग्राहक के अनुरोध अनुरोध को अस्वीकार करता है।

(सी) संसाधन मालिक अनुदान का आश्वासन स्वीकार करते हैं, प्राधिकरण सर्वर उपयोगकर्ता- एजेंट पूर्व में प्रदान किए गए पुनर्निर्देशन यूआरआई (ग्राहक अनुरोध के दौरान या क्लाइंट पंजीकरण के दौरान) का उपयोग कर ग्राहक को वापस। पुनर्निर्देशन यूआरआई में प्राधिकरण कोड और क्लाइंट द्वारा प्रदान किए जाने वाले किसी भी स्थानीय राज्य को पहले शामिल किया गया है।

(डी) ग्राहक प्राधिकरण सर्वर के टोकन समापन बिंदु से पिछले चरण में प्राप्त प्राधिकार कोड को शामिल करके एक एक्सेस टोकन का अनुरोध करता है। अनुरोध करते समय ग्राहक प्राधिकरण सर्वर के साथ प्रमाणीकरण करता है। क्लाइंट में सत्यापन के लिए प्राधिकरण कोड प्राप्त करने के लिए उपयोग किए जाने वाले रीडायरेक्शन यूआरआर शामिल हैं।

(ई) प्राधिकरण सर्वर ग्राहक को प्रमाणीकरण करता है, प्राधिकरण कोड को मान्य करता है, और यह सुनिश्चित करता है कि पुनर्निर्देशन यूआरआई को पुनः प्राप्त करने के लिए उपयोग किए गए यूआरआर से मेल खाता है चरण में ग्राहक (सी) यदि मान्य है, तो प्राधिकरण सर्वर एक पहुंच टोकन और वैकल्पिक रूप से, एक ताज़ा टोकन के साथ जवाब देता है।


Comments

Post a Comment

Popular posts from this blog

winforms - C# Form - Property Change -

-
I have a form that has a property named car A class with many properties. The Properties is being displayed on the current car on the basis of some user actions that are being displayed. So I have to know whether the property has been allocated or set to zero. I'm aware of INotifyPropertyChanged , but in my case I'm not sure that since this change I have changed my car properties car do not want to monitor the property. Any idea how to accomplish this? In advance thank you If you have created a true asset in your class then You should be a great and setter, you can add the code directly to the form property in order to take action on the basis of "form": Public partial category Form 1: form {public form 1 () {InitializeComponent (); } // define car square public class car {public string name = string. Empty; } // private car to keep the value of the current car private variable _car = null; // Property of public form which you can ru...
Read more

javascript - amcharts makechart not working -

-
I am trying to create an amiratars serial chart on my Durandal single page application. This chart was working fine on Chrome browser but it is not working on IE. Can you please help me in this regard. Error while using Amcharts. The Macchart () method does not support the object in this object in IE.
Read more

java - Algorithm negotiation fail SSH in Jenkins -

-
I am trying to do SSH on the local server from Jenkins, but the following error has been thrown: [SSH] Exception: Algorithm negotiation fail com.jcraft.jsch.JSchException: algorithm talk com.jcraft.jsch.Session.receive_kexinit (Session.javaatar20) at com.jcraft.jsch.Session.connect (Sesson at com.jcraft.jsch.Session.connect (Session.java:150) at org.jvnet.hudson.plugins.SSHSite.createSession (SSHSite.java:141) on failed failed org.jvnet.hudson.plugins. java: 286) .SSHS on org.jvnet.hudson.plugins.SSHBuildWrapper.executePreBuildScript (SSHBuildWrapper.java:75) on Org.jvnet.hudson.plugins.SSHBuildWrapper.setUp (SSHBuildWrapper.java59) ite.executeCommand (SSHSite.java151) on hudson.model.Build $ BuildExecution.doRun hudson.model.AbstractBuild $ AbstractBuildExecution.run (AbstractBuild.java:533) to (Build.java:154) hudson.model.Run.execute ( Run.java:1754) in ended .model.FreeStyleBuild.run (FreeStyl hudson.model.ResourceController.execute (ResourceController.java:89) on hudson.mod...
Read more