OAuth2の安全性と中間者攻撃の違い
私は現在、内部API呼び出しのセキュリティ保護について研究しており、非常に安全に思われるため、リクエストの署名に興味を持ちました(リクエストに署名するために誰にも送信しない秘密を使用すると、かなり安全だと感じます)。
私の問題は、ほとんどのAPIゲートウェイサービスがOAuth2メカニズムを提供していることです。私はその安全性について深刻な疑問を抱いています。
トークンを取得するために資格情報を送信してAuthorizationヘッダーで使用することが実際に安全かどうか誰かが説明できますか?
最初のリクエストの情報を正常に取得できる人は、将来のAPI呼び出しで偽装するために必要なすべてのものを手に入れることができると思います。
OAuth2標準の重要な部分をブラッシングします。
つまり、すべてのアクセスはIPにバインドされ、時間制限があります。 (x分など)。その後、認証メカニズムを通じて新しいトークンを要求する必要があります。
盗聴から保護するための標準の別の部分は、すべてのOAuth2アクセスプロバイダー[〜#〜] must [〜#〜]がTLSまたはSSL接続を実装することです。 (HTTPは許可されていません)。
しかし、誰かが最初から完全な接続を実際に盗聴できる場合(完全なoauth認証および承認プロセスによる最初の認証の場合)に)からサービスに接続するためのすべての情報が含まれているという点で正しいあなたのIP。
ただし、サービスに直接ログオンするかどうかは同じです。