Как правильно реализовать аутентификацию в OAuth не раскрывая id пользователя?

Question

[iFortunes]

Доброго времени суток, направьте в правильную сторону пожалуйста.
При аутентификации в Laravel OAuth необходимо передать

{
	"grant_type":"password",
	"client_id":"1",
	"client_secret":"secret",
	"username":"username",
	"password":"111111"
}

Не опасно ли для сервера, сообщать client_id и client_secret клиенту?

Answer 1

[Дмитрий Кузнецов]

client_id и client_secret, как я помню, являются данными самого ключа для вашего приложения. В вашем же случае ID пользователя ни как вы не передаёте.

Не опасно ли для сервера, сообщать client_id и client_secret клиенту?

Данным способом вы в теории не передаёте пользователю эти данные. Данный массив данных должен быть вшит в программу, а пользователь только должен вводить логин и пароль от своего аккаунта.

Comments

[iFortunes]

Уточно, при авторизации по API.

[iFortunes]

Ещё раз уточню, не все просто пользователи.

[Дмитрий Кузнецов]

iFortunes, либо я вас не понимаю, либо вы меня...

при авторизации по API.

После авторизации вам выдаётся только ключ, который вы отправляете с каждым запросом в ваш API.

не все просто пользователи.

В каком смысле "не все просто пользователи"?

[iFortunes]

либо я вас не понимаю, либо вы меня

Видимо.

Есть приложение которому необходимо авторизоваться на сервере по API.
Чтобы авторизоваться необходимо передать выше указанный массив.

Естественно что у другого пользователя будут другие данные.

Т.к я только учусь, вот и спрашиваю совета как безопасно реализовывается подобное.
На мой взгляд должные передаваться логин и пароль.

[Дмитрий Кузнецов]

iFortunes, приложение ваше? вы являетесь разработчиком или ваша команда?
1. Для JS и мобильных приложений используется этот тип авторизации, но только в том случае, если вы ему полностью доверяете.

2. Для авторизации через сторонние приложения необходимо использовать другие методы авторизации в Laravel Passport. К сожалению, особого опыта в этом нет. Если не ошибаюсь, то вам эта ссылка подойдёт: https://laravel.ru/docs/v5/passport#%D0%B7%D0%B0%D...

[iFortunes]

Дмитрий Кузнецов, Благодарю за ссылку, я её уже просматривал, вы могли заметить, что передаётся тот же массив. Моё приложение, не моё, это не важно, важно то, что я должен сообщить пользователю

client_id' => 'client-id',
'client_secret' => 'client-secret',

для того чтобы он смог авторизоваться. На мой взгляд это какой-то бред.

[iFortunes]

Насколько я понимаю, сначала должен быть отправлен запрос к одному методу, а тот в свою очередь на авторизацию. Только так можно избежать огласки данных. Я думал есть ещё варианты авторизации для того и задал этот вопрос.

[Дмитрий]

iFortunes, это не бред, это стандарт OAuth. И вы не сообщаете пользователю никаких данных. Этот процесс вообще без его ведома проходит, юзер видит только редирект на сервер аутентификации и обратный редирект.

[iFortunes]

Дмитрий, Можно более развёрнуто?

Answer 2

[Alex Wells]

Да, отправлять клиенту client_secret это полный бред. Но никто вас об этом и не просит, собственно. С passport'ом я не работал, но перечитав всю доку я так и не нашел место, где client_secret (не _id) передавался бы клиенту. Единственное, что я там увидел - запросы к своему же серверу с этим параметром, а во всех других местах, где юзера редиректит, я вижу только client_id.

Comments

[iFortunes]

Повторюсь, я только учусь.
Конечно же у меня возникают вопросы, например:
пользователь вводит логин и пароль, отлично, но что это даст если нет ни cliend_id ни client_secret? Авторизация не пройдёт без тех параметров. Хорошо, тогда как их получить на стороне сервера если без авторизации нет доступа.

[Alex Wells]

iFortunes, я же говорю, ч то с пасспортом я не работал. Просто следуйте документации и все будет хорошо - единственный совет который я могу вам дать, помимо ответа на вопрос.

[iFortunes]

Alex Wells, Спасибо, так и делаю. Пришел к выводу что приложение при подключении в любом случае должна передавать эти данные, взять их негде и соответственно пользователь будет их и вводить.

[Дмитрий]

iFortunes, Вы точно прочли документацию по Passport? Там есть раздел про создание клиентов, которые будут использовать ваш API, и про аутентификацию с использованием client_id и client_secret.
Вы когда-нибудь подключали на какой-либо сайт вход через тот же ФБ? Это то же самое, тоько в роли ФБ - ваш сервер с API.