OAuth 2.0-zwei-Beinen-Authentifizierung vs SSL/TLS
Habe ich zwei enterprise-Servern, die miteinander kommunizieren müssen, in einem sicheren Weg, und bin den Vergleich mit SSL (client/server-CERT überprüfen beide Seiten) vs-zwei-Beinen-Authentifizierung mit OAuth 2.0 (wahlweise mit MAC-Token oder JWT Token).
Historisch OAuth scheint, gewesen geschaffen für einen völlig anderen Zweck (der 3-beinige Fall, wo ein Benutzer ist, so dass ein Dienst für den Zugriff auf einige Daten irgendwo), und zwar zwei Beinen ist nun integriert in die OAuth 2.0-Spezifikation, von dem, was ich gesehen habe, das zweibeinige OAuth 2.0 scheint nicht sehr viel zu bieten zusätzlichen Schutz über SSL.
Der einzige Punkt, den ich denken kann, ist, dass OAuth ist möglicherweise einfacher zu konfigurieren als SSL, und es ist leicht, Fehler zu machen, Dinge wie die Annahme schlecht, SSL-Zertifikate, die die Sicherheit gefährden kann. Allerdings bin ich nicht sicher, ob dies ist Grund genug, um sich mit OAuth.
Beachten Sie, dass ich erwähne diese als separate Optionen, aber ich denke, dass die Verwendung von OAuth würde wahrscheinlich bringen Sie es auf oben HTTPS/SSL, so dass beide verwendet werden würde.
Gibt es keinen echten Vorteil der Verwendung von OAuth 2.0-zwei-Beinen-Schema für die server-zu-server-Kommunikation (kein Benutzereingriff)?
Hinweis: ich habe einen etwas ähnlichen Beitrag hier, aber das ist ziemlich alt, aber ich fühle mich nicht, gab eine befriedigende Antwort auf diese Frage.
Du musst angemeldet sein, um einen Kommentar abzugeben.
Ich werde Antworten auf diesen Kommentar:
Zusammenfassung: ich würde nicht die Mühe, beides zu machen.
Details: 2-legged OAUTH ist nur so sicher, wie das consumer-secret ist. Ebenso gegenseitige auth SSL ist nur so sicher wie der private Schlüssel. Ich gehe davon aus, dass Sie speichern diese in einigen verschlüsselten Informationsspeicher auf jedem server. Da beide an der gleichen Stelle gespeichert sind, sehe ich keine zusätzliche Sicherheit wird durch Zugabe von OAUTH.
Nun, wenn Sie erwägen, die Wahl zwischen mutual auth SSL und SSL mit Authentifizierung, vielleicht OAUTH können, spielen dabei eine Rolle. Ich würde gehen, mit welcher dieser Optionen scheint einfacher. Also, wenn Sie eine OAUTH-system an Ort und Stelle und kann einfach durch hinzufügen von server-auth, um es, vielleicht ist der Weg zu gehen. Ansonsten gehen Sie einfach mit der gegenseitigen auth SSL. Es neigt dazu, ein wenig umständlich zu konfigurieren, aber funktioniert gut und schnell mal aufgebaut.
Entschuldigt, wenn Sie bereits wissen, aber es ist nicht klar, in deinen post.
OAuth und SSL\TLS sind zwei getrennte Schichten des OSI-Modells. OAuth für die Authentifizierung und ist an der Oberseite der Schicht 7 während SSL\TLS steht für transport-Sicherheit in Schicht 4. Es ist leicht zu verwechseln mit SSL-client-Zertifikate, weil Sie sowohl PKI.
Sind Sie richtig in Ihrem Verständnis von OAuth...es ist für die Autorisierung von Personen, nicht Organisationen\Servern. 2-legged OAuth ist ein Begriff, der in den Raum geworfen, die umfassen verschiedene alternativen OAuth-flows, die alle nicht Folgen einem standard.
Meiner Meinung nach, wollen Sie mit Hilfe von client-Zertifikaten für sichere server-server-Kommunikation...alles, was wirklich erforderlich ist, ist ein single-x509-Zertifikat, das verwendet werden kann, da beide SSL (transport security) und client-Zertifikat (Genehmigung); obwohl die Verwendung von 2-Zertifikate ist die norm.