从51信用卡到OAuth2协议

最新推荐文章于 2024-04-23 10:06:07 发布
最新推荐文章于 2024-04-23 10:06:07 发布
阅读量565 收藏
点赞数
分类专栏: 互联网安全 文章标签: 51信用卡 安全 密码 网银 oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16414307/article/details/48520993
版权


一个网站不能触碰其他网站的密码,应该说是一种常识,更不要说去保存对方的密码了。

在1999年我就曾与当时中网新空气论坛进行了用户漫游。当时还没有OAuth协议跟不要说OAuth2了。


A网站用户要漫游到B网站,当时的大致流程如下:
1.在B网站,点“用A网站用户漫游到B网站”
2.B网站将用户浏览器引导到A网站预设的授权url,
3.A网站提示用户输入用户名密码
4.用户完成后,A网站即可知道当前登录是用户C
5.A网站生成并保存一个随机的令牌A(随机字符串),并将令牌A与用户C关联
6.A网站引导用户浏览器到B网站预设漫游入口url,并附上令牌A
7.B网站拿到令牌A之后,在服务端向A网站请求预设认证url并附上令牌A
8.A网站验证令牌A有效,然后可将令牌A关联的用户C的必要信息(不包括密码)返回给B网站
9.B网站此时可以确认当前浏览器就是B网站用户C在使用,记录并设置上自己的cookie,
随后A网站用户C即可像B网站注册用户一样操作了。

基本上除了细节与OAuth2基本一致,流程看起来有些繁杂,

远不如用户向B网站提交A网站的用户密码,然后B网站再向A网站验证密码来的简单直观,

但是,但是对一个但凡有一点点常识的互联网从业人员来说,绝对无法接受这种简单直观。

所以当年在只有ASP的情形下,我们不厌其烦的使用delphi编写com组件让ASP调用来实现这一流程。


如今各大网站基本都支持OAuth2.0协议了,除了基础的用户漫游外,其主要目的就是为了共享资源,
比如一个照片存储服务商可以让用户授权一个照片打印商访问用户自己的私密相册,而无需先将自己照片下载下来然后再上传到照片打印商的网站上。

所以51信用卡面临的问题,其实已经有非常成熟的技术解决方案。
银行完全可以将自己拥有的用户资料信息整理出来,让用户自己授权给第三方网站使用。
这些信息本来就属于用户而非银行。既然银行无法更好的管理用户的信用卡账单,银行就应该允许用户授权其他能更好管理用户账单的服务商来访问账单。

那么银行为何没有提供类似OAuth2的服务呢?
一个是技术能力有限(中国银行你懂的),另一个是理念的落后。


正像有些人会认为,一个blog服务商,假如让用户可以授权第三方方便的获得他blog的列表与详细内容(无需解析HTML,而是直接提供格式化好的数据),

甚至通过第三方来发布用户blog,会损害blog服务商的利益。对于这些人只能用眼光短浅,心胸狭隘来形容。


如果某个传统银行能以开放的心态,将自己不擅长的领域开放给其他第三方,自己就可以专注于银行最擅长的业务,

对于用户而言使用该银行将获得更佳的用户体验。这难道不是一种更高层次的竞争力吗?

自己做不好也不让别人来做,无非是以前多年传统思维的惯性使然,我是老大我为何要把数据开放给你?


当然这种开放不能是无条件的,必须对接入的第三方做必要的审核。把数据给你,你却乱来怎么办?


可以预见随着互联网的深入发展,特别是随着用户自身素质的提高,51信用卡这种近乎旁门左道的方式必然会越来越少。

而正规开放的数据分享,精细分工将成为常态。

sliang733
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth2.0协议中文版.pdf
03-27
OAuth2.0是OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用...
OAuth2的使用场景、常见误区、使用案例
qq_53578500的博客
08-03 1206
Resource Owner Password Credentials Grant(资源所有者密码凭据许可)Implicit Grant(隐式许可)Authorization Code Grant(授权码许可)还有一种叫做Client credentials ,用的较少,文章没有涉及。资源所有者 : 就是上文中的用户资源服务器 :即网易邮箱客户端: 就是上文的信用卡管家授权服务器 : 即上文的网易认证中心码农小胖哥、《码农翻身》............
密码到token, 一个授权的故事
weixin_34062329的博客
08-21 72
转载自公众号-码农翻身 原创2017-07-03老刘码农翻身1. 我把密码献给你小梁开发了一个“信用卡管家”的程序 , 可以自动从邮箱中读取信用卡相关邮件,分析、汇总,形成一个报表。小梁找到信用卡达人张大胖试用 : “你的信用卡那么多,看看我这个程序吧, 保准你会爱死它。”张大胖尝试了几下说: “咦,你这个程序要读取我的网易邮箱啊,那需要用户名/密码吧”“是啊 ,...
淘宝开放平台深入浅出
热门推荐
12-27 1万+
淘宝开放平台(TOP)的API是基于HTTP协议来调用的,开发者(ISV)可以直接使用TOP提供的官方SDK(支持多种语言,包含了请求的封装,签名加密,响应解释,性能优化等)来调用,也可以根据TOP的协议来封装HTTP请求进行调用,以下主要是针对自行封装HTTP请求进行API调用的原理进行详细解说。 调用流程 (1)动态获取sessionKey(AccessToken)
Spring Security如何优雅的增加OAuth2协议授权模式
09-07
主要介绍了Spring Security如何优雅的增加OAuth2协议授权模式,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
oauth2:转到OAuth2
02-04
或者,您可以手动将存储库git克隆到$(go env GOPATH)/src/golang.org/x/oauth2 。 有关更多文档和示例,请参见pkg.go.dev。 新包装政策 如果它们只添加一个端点变量,我们将不再在此仓库中接受新的特定于提供程序...
OAuth2.0协议原理与实现
03-08
OAuth2.0协议原理与实现
OAuth 2.0授权协议详解
10-25
主要介绍了OAuth 2.0授权协议详解,本文对OAuth协议做了详解讲解,对OAuth协议的各个方面做了分解,读完本文你就会知道到底啥是OAuth了,需要的朋友可以参考下
区块链安全应用----压力测试
2201_76041915的博客
04-17 995
有一个临时的解决方案,进入node_modules/@hyperledger/caliper-fisco-bcos目录,编辑该目录下的package.json文件,在"dependencies"中添加一项"secp256k1": “^3.8.0”,随后在该目录下执行npm i,更新完成后测试程序就能启动了。变动文件二:绿色为新增的代码,红色为源代码,需要删除。在部署完成后,可以通过。:用于指定需要测试的区块链平台,即受测系统(***S***ystem ***u***nder ***T***est);
浏览器原理 之 浏览器安全
每天积累一点点
04-20 935
XSS 攻击,即跨站脚本攻击(Cross-Site Scripting),是一种常见的网络安全漏洞,它允许攻击者将恶意脚本注入到其他用户浏览的正常网页中。这些恶意脚本通常以 JavaScript 形式出现,并在用户的浏览器中执行。执行的结果可以是窃取用户的cookies、会话令牌,或者对用户的账户进行其他恶意操作。存储型 XSS:恶意脚本被永久存储在目标服务器上,例如数据库、消息论坛、访客留言等,当其他用户请求数据时脚本被发送到用户的浏览器执行。反射型 XSS。
黑龙江—等保测评三级安全设计思路
2403_84237550的博客
04-19 846
本方案在对信息系统可能面临的安全威胁进行分析的基础上,结合安全域的划分,从物理层、网络层、系统层、应用层、数据层和管理层几个安全层面进行了整体的安全设计,在整体保障框架的指导下,综合多种有效的安全防护措施,进行多层和多重防御,实现纵深防御。3、体现了分域防护的思想。不同的安全等级要求具有不同的基本安全保护能力,实现基本安全保护能力将通过选用合适的安全措施或安全控制来保证,可以使用的安全措施或安全控制表现为安全基本要求,依据实现方式的不同,信息系统等级保护的安全基本要求分为技术要求和管理要求两大类。
优思学院|ISO45001职业健康安全管理体系是什么?
优思学院
04-17 638
ISO45001希望改变这一点。新的OH&S标准基于ISO所有管理系统标准中的常见要素,并采用简单的“规划-执行-检查-行动”(PDCA)模式,为组织提供了一个框架,用于规划他们需要实施的内容,以尽量减少伤害的风险。ISO45001:2018是新公布的国际标准规范,全球备受期待的职业健康与安全国际标准(OH&S)于2018年公布,并将在全球范围内改变工作场所实践。ISO45001:2018职业健康与安全管理系统指引要求,为改善全球供应链的工作安全提供了一套强大有效的流程,旨在帮助各种规模和行业的组织。
智慧煤矿/智慧矿区视频汇聚存储与安全风险智能分析平台建设思路
TSINGSEE青犀视频官方技术博客
04-18 1419
集群部署将提升流媒体转发服务性能,具备强大的、灵活的组网和应用能力,支撑视频管理平台与远程检查系统的对接。
K8s: 运行Pod时的root用户和非root用户的安全相关配置
Wang的专栏
04-19 1255
docker 容器运行起来,默认是 root 用户 这样运行起来后,基本不会遇到权限相关问题 带来的问题是: 权限过大,被攻击后会遇到严峻挑战 基于这个问题,K8s提出了特权用户的概念 在容器启动时,虽然启动的是 root 用户,但是不具备所有root功能 只是一个映射的root用户,如果不开启 privilege 试图修改系统关键信息 是会报错的,加上 --privilege 之后,就是一个特权用户,就可以进行修改
等保测评三级等保—安全设计思路
2403_84237550的博客
04-18 1075
各个环节的防护、检测、响应和恢复等多种安全措施和手段,对系统进行动态的、综合的保护,在攻击。具体操作的安全策略,并在充分利用信息安全基础设施的基础上,构建信息系统的安全技术体系、安全。管理体系,形成集防护、检测、响应、恢复于一体的安全保障体系,从而实现物理安全、网络安全、系。动态性,还需要建立安全风险评估机制,在安全风险评估的基础上,调整和完善安全策略,改进安全措。证系统的安全性是一个巨大的挑战,对信息系统划分安全区域,进行层次化、有重点的保护是有保证系。数据的分类确定该区域的安全风险等级。
安全中级-初开始
m0_68976043的博客
04-16 766
wireshack抓包会有一个MSS(1460),代表什么--(除去IP和TCP头部,数据包TCP数据的最大长度)本地DNS缓存查询-->DNS递归查询-->根域名服务器查询-->顶级域名服务器查询-->解析失败。重要点:TTL值(防环,linux64.Windows128 ),IP数据包包头格式字节(20)文件上传为什么1.为什么消失 2.谁删除的 3.如果我现在要做一个正常的文件上传,应该怎么做。如何最多获取一个网站的ip地址(nslookup[域名解析],tracert)
第67天:APP攻防-Frida反证书抓包&移动安全系统&资产提取&评估扫描
最新发布
weixin_71529930的博客
04-23 1036
移动安全框架 (MobSF) 是一种自动化的一体化移动应用程序(Android/iOS/Windows) 渗透测试、恶意软件分析和安全评估框架,能够执行静态和动态分析。AppinfoScanner 一款适用于以 HW 行动/红队/渗透测试团队为场景的移动端(Android、iOS、WEB、H5、静态网站)信息收集扫描工具,可以帮助渗透测试工程师、攻击队成员、红队成员快速收集到移动端或者静态 WEB 站点中关键的资产信息并提供基本的信息输出,如:Title、Domain、CDN、指纹信息、状态信息等。
用java实现oauth2协议
08-14
首先,我们可以使用Spring Security OAuth2来实现OAuth2协议。Spring Security OAuth2提供了一系列的类和注解,帮助我们快速实现OAuth2的认证和授权流程。 我们首先需要配置OAuth2的客户端信息,包括client_id、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值