Servidor OAuth2

Iniciado por dystr4kt0r, Julio 30, 2014, 03:45:04 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Julio 30, 2014, 03:45:04 PM Ultima modificación: Mayo 22, 2015, 02:06:05 PM por Expermicid
Hola:

Recientemente tengo un proyecto en el cual expongo una Rest API, la debe ser accesada con el protocolo OAuth2, lo cual lleva a que se monte un servidor OAuth2 y se extiendan y revoquen tokens y permisos mediante 3 entrypoints expuestos en un webapp, todo eso ya tengo un PoC y funciona.

Pero me surgen las siguientes dudas con respecto a la seguridad:

- Conviene montar esa webapp en un subdominio totalmente diferente por ejemplo:
     - No tienes permitido ver los links. Registrarse o Entrar a mi cuenta (servidor OAuth2)
     - No tienes permitido ver los links. Registrarse o Entrar a mi cuenta (REST API).

- ¿Los access_token generados deben de ir cifrados y guardados en cookie, o conviene generar una tabla para guardarlos y guardar los identificadores en cookies?

- Que aspectos de seguridad tengo que considerar:
    - escapar todos los inputs para evitar XSS.
    - meterle request_tokens para evitar CSFR.
    - HTTP_ONLY a las cookies.
    - HTTPS ... etc.

O si alguien a tenido experiencia montando su propio OAuth2 server, ¿Con qué cosas a batallado?

De antemano muchas gracias por sus consejos y/o experiencias.