使用Auth0管理API时,我很惊讶在请求/api/v2/clients/{id}:API doc时包括了client_secret。
我本以为这样的信息是不可请求的,并且会被散列。因为不是,所以我对API密码安全性似乎有些不了解。当您只能旋转秘密时,也许在概念上有所不同?因为这样您就不会冒用随机生成的字符串重复使用密码的风险。还是其他原因?
答案 0 :(得分:1)
默认情况下,密码由Auth0分配。因此,租户管理员必须通过仪表板或管理API来访问机密。
话虽这么说,管理API是一个功能强大的工具,并且访问权限仅应授予受信任的客户端。此外,这些客户的范围应尽可能窄。授予read / update:clients范围应该有偏见。