OAuth & OpenID CX 보안

OAuth & OpenID CX

Nat Sakimura가 OAuth와 OpenID Contract Exchange extension의 차이점과 유사점을 레이 아웃 하였습니다.

CX에 관하여서도 논의 하였는데, 비슷한 프로토콜 flow를 쓰는 것은 OAuth 세션 Fixation attack에 대해 취약하지 않다는 것입니다.

이유는 CX는 OAuth가 하지 못하는 명시적 아이덴티티를 만들 수 있습니다.

물론, 명시적 아이덴티티를 만든다는 것은 사용자들이 글로벌 식별자를 사용할때 좀 더 발전할 것입니다.-만약 사용자가 익명의 페어와이즈를 통해 상호 관계를 제한하길 원하면 많이 귀찮아질 것입니다.