تقریبا تمام برنامه های کاربردی مجوزها را با برنامه اجرا می کنند و هیچ راهی برای داشتن حداقل نقش در خارج از برنامه ندارند.
آیا تنها راه تأیید اعتبار متمرکز است اما مجوز در داخل نرم افزار را اداره می کند یا یک استاندارد یا راهی برای انجام آن؟
تأیید اعتبار – آیا یک شخص ثالث برای ورود به سیستم میتواند من را منصرف کند؟ (آیا فیس بوک می تواند سوالات خود را به سرریز پشته زیر نام من بفرستد؟)
بله، آنها می توانند
پاسخ ساده: شما به نوعی به تأمینکننده OAuth خود، معمولا از طریق نام کاربری و رمز عبور، هویتی را تایید میکنید. مدیر بد می تواند مدارک ارسال شده را ذخیره کند و فقط از آنها استفاده کند. این حمله به نحوه اجرا در پشت صحنه بستگی ندارد.
به طور کلی، گذرواژه شما برای تأیید هویت ارائه دهنده برای احراز هویت به سرویس های شخص ثالث به طور کلی استفاده نمی شود، بدان معنی است که هویت سازنده شما در واقع کلید های ورود شما را دارد (و شما همه آنها را نداشته باشید.
شما می توانید از طرح هایی استفاده کنید که رمز عبور شما را در فرآیند احراز هویت ذخیره می کند بدون ذخیره سازی آن پس از آن رمزگذاری نشده است، اما در عمل من چنین برنامه ای را نمی دانم
