OAuth2: использование PKCE вместо client_secret

Question

OAuth2: использование PKCE вместо client_secret

У меня есть веб-приложение, которое использует неявный грант OAuth2 для аутентификации.

Я бы хотел, чтобы моя сессия была активной в течение длительного времени, используя токены обновления. Но так как я не могу безопасно хранить client_secret в веб-приложении, я не могу использовать традиционное предоставление кода авторизации.

Безопасно ли использовать PKCE вместо client_secret или я теряю некоторый уровень безопасности при этом?

2

oauth-2.0 pkce

Источник

user4321 28 авг '17 в 17:24

2 ответа

Другие вопросы по тегам oauth-2.0 pkce

user88122 29 авг '17 в 07:49 2017-08-29 07:49 · Answer 1 · 2017-08-29 07:49

Да. Хотя PKCE более безопасен, чем НЕ использует его; неявное предоставление с PKCE все еще оставляет маркер доступа, который может быть выставлен владельцу ресурса и, возможно, другим приложениям, расположенным на том же устройстве.

PKCE в первую очередь защищает от того, когда злоумышленник перехватывает код авторизации, возвращенный из конечной точки авторизации в пределах канала связи, не защищенного с помощью безопасности транспортного уровня (TLS).

Implicit Flow подходит только для клиентских приложений OAuth на основе браузера или мобильных устройств JavaScript NOT, а также других приложений, которые могут использовать код авторизации.

user2279059 23 фев '18 в 12:11 2018-02-23 12:11 · Answer 2 · 2018-02-23 12:11

С неявным предоставлением вы не можете использовать ни PKCE, ни токены обновления. Если вы хотите улучшить безопасность, то вам следует добавить серверную часть в ваше веб-приложение, которое может хранить client_secret (или используйте альтернативный метод аутентификации клиента). PKCE не понадобится.