Anladığım kadarıyla, aşağıdaki olaylar zinciri erişmek için Site-A için OAuth 2 oluşurKullanıcıSiteB ile ilgili bilgiler.

1. Site-A Site-B ile kaydeder ve bir Sır ve bir KİMLİK edinir.
2. Ne zamanKullanıcısöyler Site-A Site-B, erişmek içinKullanıcıgerçekten SiteA özel bilgiler için izinleri vermek istiyorum Site-B söylediği Site-B gönderdi.
3. Site-B yönlendirmelerKullanıcıSite-A, Yetkilendirme Kodu ile birlikte geri.
4. Site-A sonra geri Sırrı ile birlikte bu Yetki Kodu bir Güvenlik Belirteci karşılığında SiteB geçer.
5. Site-A 14 ** adına isteklerini yaparKullanıcıGüvenlik istekleri ile birlikte Token ile donatılacak.

Nasıl bu tüm güvenlik ve şifreleme açısından üst düzey bir işe yarıyor mu? Nasıl OAuth 2 replay saldırıları Güvenlik Belirteci kullanma gibi şeylere karşı korur?

Okuduklarıma göre, bu işler böyle

Genel akış söz konusu ana hatlarıyla doğru. Adım 2'de, Kullanıcı X kimliği doğrulanmış ve aynı zamanda yetki veren Bir Site erişim için Kullanıcı X bilgi Sitesi B. 4 adım, sitenin geçer onun Gizli geri Sitesi B, kimlik doğrulama kendisi gibi Yetki Kodu, belirten ne sorduğun için (X Kullanıcı erişim belirteci).

Genel olarak, OAuth 2 aslında çok basit bir güvenlik modeli ve şifreleme asla doğrudan devreye giriyor. Bunun yerine, Gizli ve Güvenlik Belirteci her ikisi de aslında şifreleri, ve her şey sadece https Bağlantısı Güvenlik tarafından korunan.

OAuth 2 Güvenlik Belirteci yeniden saldırıları veya Gizli karşı koruması yok. Bunun yerine, tamamen transit (https URL parametreleri koruyacak) https üzerinden gönderilen, onlar Sitesi B bu öğeler konusunda sorumluluk sahibi olmak ve onları dışarı icar değil dayanır, ve.

Yetki Kodu bölümün amacı sadece rahatlık ve Yetki Kodu kendi başına özellikle duyarlı değildir. Kullanıcı için ortak bir tanımlayıcı X eriştiğinizde Site Kullanıcı X soran Sitesi B erişim belirteci belirteci sağlar. Sadece Kullanıcı Sitesi B X kullanıcı kimliği birçok seçkin erişim belirteçleri aynı anda farklı sitelere dağıttı bekliyor olabilir çünkü çalıştı olmazdı.