OAuth изясни?
От няколко дни разбирам протокола OAuth и един момент не може да ми попадне в главата:
Да предположим, че имам услуга с REST API и OAuth сървър. Създавам десктоп (или мобилно) приложение, регистрирам го с OAuth сървър и получавам app_id и app_secret, които генерира, които след това използвам, за да получа маркера. Да предположим, че моето приложение ще изпраща веднъж на минута дневник на работата до услугата (използвайки метода POST) и трябва да работи 24/7 без човешка намеса, което означава, че имам нужда от неограничен жетон. След това получавам жетон и започвам работа с услугата. В същото време, както разбирам, и app_id, и app_secret, и маркерът трябва да се съхраняват някъде. В случай на десктоп приложение, това е например конфигурационен файл или регистър на Windows. Съответно, тези данни могат да бъдат командвани и използвани за лоши цели, например, глупаво е да DDoS услугата ми с някакво приложение на трета страна.
Правилно ли мисля или някъде греша?
Загубата на app_secret е равна на загуба на парола от нещо.
Например, ако откраднете ключа ssh, можете също да получите достъп до сървъра. Тайната е нашият частен ключ.
Тези. ако app_id и app_secret са глупаво шифровани и зашити в кода на приложението и само маркерът се съхранява извън програмата, тогава това е малко по-сигурно?
Въпреки че отново тук е въпросът: по принцип за приложение на трета страна като цяло е достатъчно да знам маркера и да мога да изпращам заявки до услугата?
- Протоколи от разглеждане на заявления за участие в търг, в заявка за оферти, за участие в търг,
- Обяснения към TN VED 8517 - Телефонни устройства, включително телефонни устройства за клетъчни комуникационни мрежи
- Протоколи от медицински и педагогически срещи, Детска градина MBDOU от общоразвиващ тип No166
- HTTP протокол
- Пневматична система - Управление - Велика енциклопедия на нефт и газ, статия, страница 1