안녕하세요, 저는 처음으로 내 프로젝트에서 Oauth를 처리하려고 시도합니다. 나는 link에 자습서를 읽었다. 나는 구글과 페이스 북의 Oauths를 시험해 보았고 그것이 얼마나 간단한 지 놀랐다. 이제는 학습 목적으로 Twitter/Yahoo/Microsoft를 사용해 보겠습니다. 이 질문은 학습자 질문이므로 저에게 부정적인 점이 될 수도 있습니다. 제 질문은 Facebook Oauth를 사용할 때 LocalHost 컴퓨터의 SSL Https URL이 필요할 때입니다. Yahoo/Twitter/Microsoft는 어떻습니까? 어느 것이 SSL을 필요로합니다.Twitter/Microsoft/Yahoo OAuths가 SSL을 필요로합니까?
수 있습니다. 사실 트위터는 오늘 현재 모든 엔드 포인트에서 SSL을 요구합니다. 프로토콜을 연구하면 Authorization 헤더에서 앞뒤로 전달되는 토큰이 있음을 알 수 있습니다. 당신은 그들을 보호하기를 원할 것입니다. 또한 토큰 및 기타 정보를 포함하는 공급자의 응답을 보호하기를 원합니다. 일부 응용 프로그램은 SSL을 요구하지 않을 수도 있지만 (트위터는 지금도 마찬가지 임) 설계 상 안전하고 기본적으로 안전하며 배포시 보안을 유지하는 것이 좋습니다.
아니요 - localhost 기계는 이 아니며은 SSL을 실행해야합니다.
사실, localhost을 사용하지 않더라도 SSL을 사용할 의무는 없습니다. 이론적으로는 개인 토큰이 시스템을 떠나지 않기 때문에 토큰이 가로채는 위험은 거의 없습니다.
그래서, OAuth를 춤의 OAuth를 사용하는 경우, SSL을 사용한다
User -> Your Website -> SSL to OAuth provider -> Redirect to localost (non SSL)
인증이 필요한 경우 항상 모든 곳에서 SSL을 사용해야합니다. 그렇지 않으면 공격자가 인증 쿠키를 훔칠 수 있습니다. (예 : Firesheep) – SLaks