为什么 Oauth2.0 说 "Client Password in request body not recommended"?
Why does Oauth2.0 says, "Client Password in request body not recommended"?
Client authentication of oauth spec indicates the following in section 2.3.1:
Including the client credentials in the request-body using the two
parameters is NOT RECOMMENDED and SHOULD be limited to clients unable
to directly utilize the HTTP Basic authentication scheme (or other
password-based HTTP authentication schemes).
我不明白为什么不推荐这样做。 Http Basic Auth 比这种方法有何优势?有人可以解释一下吗?
POST 请求参数实际上是特定于 OAuth 2.0 的,通常会出现在应用程序层和 server/application 日志中,而 HTTP 基本身份验证是通用的,并且相当广泛地部署在较低的基础架构级别(即系统的 HTTP 堆栈)希望围绕它们已经采取了一些安全措施。
因此,它的值可能会被 HTTP 服务器本身消耗和删除,并防止它爬升到更高级别,并可能减少 secure/trusted 应用程序及其日志文件。
Client authentication of oauth spec indicates the following in section 2.3.1:
Including the client credentials in the request-body using the two
parameters is NOT RECOMMENDED and SHOULD be limited to clients unable
to directly utilize the HTTP Basic authentication scheme (or other
password-based HTTP authentication schemes).
我不明白为什么不推荐这样做。 Http Basic Auth 比这种方法有何优势?有人可以解释一下吗?
POST 请求参数实际上是特定于 OAuth 2.0 的,通常会出现在应用程序层和 server/application 日志中,而 HTTP 基本身份验证是通用的,并且相当广泛地部署在较低的基础架构级别(即系统的 HTTP 堆栈)希望围绕它们已经采取了一些安全措施。
因此,它的值可能会被 HTTP 服务器本身消耗和删除,并防止它爬升到更高级别,并可能减少 secure/trusted 应用程序及其日志文件。