我使用Doorkeeper在我的网络应用程序中处理OAuth2授权。
由于我是Web应用程序的所有者,因此我应该只使用client_id和用户凭据来使用密码凭据授予类型。
我想知道是否有办法将允许使用此流程的应用程序列入白名单?
我担心的是,如果没有办法将他们列入白名单,那么什么可以阻止恶意用户收集我的用户凭据?他可以使用我的client_id令牌并使用它来构建自己的身份验证界面。他基本上只是要求用户凭据并代表我向我的OAuth2提供商发送令牌请求,使用我的client_id令牌。
我在这里错过了什么吗?
答案 0 :(得分:0)
你的担忧是合法的,你是绝对正确的。门卫在密码授予时不需要客户端凭证,请参阅here。
在我对这个问题进行一些研究时,我偶然发现了这些问题:
第一个链接中建议的一个解决方案是:不要使用密码授予。
另一个问题是:您可以在门卫的资源所有者密码凭证授权之上实施custom client authentication。
我知道我没有提供自己的帮助并复制粘贴一些参考,但是当我也在寻找答案时,我认为没有理由让你没有一个。我知道这个问题已经过时了,但仍然没有答案。希望这仍然可以帮助一些人。