如何使用Doorkeeper限制OAuth2凭据授予类型流

时间:2015-08-06 08:29:46

标签: ruby-on-rails doorkeeper

我使用Doorkeeper在我的网络应用程序中处理OAuth2授权。

由于我是Web应用程序的所有者,因此我应该只使用client_id和用户凭据来使用密码凭据授予类型。

我想知道是否有办法将允许使用此流程的应用程序列入白名单?

我担心的是,如果没有办法将他们列入白名单,那么什么可以阻止恶意用户收集我的用户凭据?他可以使用我的client_id令牌并使用它来构建自己的身份验证界面。他基本上只是要求用户凭据并代表我向我的OAuth2提供商发送令牌请求,使用我的client_id令牌。

我在这里错过了什么吗?

1 个答案:

答案 0 :(得分:0)

你的担忧是合法的,你是绝对正确的。门卫在密码授予时不需要客户端凭证,请参阅here

在我对这个问题进行一些研究时,我偶然发现了这些问题:

第一个链接中建议的一个解决方案是:不要使用密码授予。

另一个问题是:您可以在门卫的资源所有者密码凭证授权之上实施custom client authentication

我知道我没有提供自己的帮助并复制粘贴一些参考,但是当我也在寻找答案时,我认为没有理由让你没有一个。我知道这个问题已经过时了,但仍然没有答案。希望这仍然可以帮助一些人。