OAuth2 DCR(RFC 7591)是否应由客户端本身用于向授权服务器注册?

时间:2016-12-20 12:05:40

标签: oauth-2.0 oauth2

我正在尝试了解OAuth2 DCR(RFC 7591)和DCM(RFC 7592)。 OAuth2 DCR(RFC 7591)是否应由客户端本身用于向授权服务器注册?或者其他注册商可以使用它来向授权服务器注册客户端吗? 例如,当用户首次安装我的移动应用程序时,应用程序首先连接到后端服务,后端服务又使用DCR向我的授权服务器注册移动应用程序。一旦后端服务从授权服务器获得注册详细信息(例如clientid / secret等),它就会将此详细信息传递给移动应用程序。移动应用程序现在可以使用以这种方式接收的clientid / secret直接从授权服务器请求令牌。这种方法的优点是注册商应用程序也知道此注册(例如用户A正在移动设备m1上使用该应用程序),并且可以提供诸如删除设备,使用DCM(RFC 7592)更新设备等功能。

这是采用这种方案的正确方法吗?

此外,DCM(RFC 7592)提到使用注册访问令牌,以使用客户端配置端点来获取/更新/删除客户端配置。在我上面提到的场景中,似乎注册访问令牌应该存储在注册商应用程序中。再次,这是正确的正确实施方式吗?

1 个答案:

答案 0 :(得分:1)

方法看起来很好。注册令牌只应存储在注册服务器中,因为您提供的更新功能,仅通过注册服务器删除。此外,将注册令牌暴露给驻留在最终用户应用程序上的客户端应用程序可能会导致安全漏洞。