OAuth 2 设备流程有一段奇怪的历史。它可以在RFC 的早期版本中找到,但后来似乎没有我能找到的解释就被删除了。最近,专门提出了一个新的草案,以独立重新引入它。
设备流程适用于在没有简单数据输入方法的设备上执行的客户端,并且客户端无法接收来自授权服务器的传入请求(无法充当 HTTP 服务器)。
其他流程不涵盖设备流程解决的场景,因此它具有实用性。谷歌支持它,并有一个例子。任何人都可以解释为什么设备流从OAuth 2 标准中删除- 是否存在我们应该知道的安全问题?
OAuth 2 设备流程的奇怪历史
信息安全
oauth
2021-09-08 00:13:37
1个回答
在偶然发现原因后,我应该回答我自己的问题 - 设备流已从 OAuth 2 规范中删除:
由于当时缺乏足够的部署专业知识
引自附录 A:致谢 - IETF OAuth 设备流程草案 #01。
如今,设备流程相当普遍。媒体设备(例如 Roku)上的某些应用程序(例如 HBO GO)似乎利用了设备流程,您登录的设备与您输入凭据的地方是分离的。例如,在 Roku 中设置 HBO GO 应用程序时,系统会提示我输入代码,这是通过从笔记本电脑的浏览器登录到 hbogo 网站获得的。