系统API访问受保护资源的机制(原创)

最新推荐文章于 2024-01-22 15:11:36 发布
最新推荐文章于 2024-01-22 15:11:36 发布
阅读量1.6k 收藏
点赞数
分类专栏: php开发 研究学习 软件源码 文章标签: api token yahoo session callback exception
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CYBEREXP2008/article/details/7007440
版权
系统API访问受保护资源的机制(原创)
余超 yuchao86@gmail.com
如下是我参加新浪OpenAPI小组对于一个接口安全交互的流程,供大家参考,
系统API访问机制包括接口注册、安全校验、访问有效性检验的流程
如果接口没有以上措施,此类接口均存在严重安全漏洞,一旦暴露在公网上,匿名用户只要扫描到接口API链接,即可调用该接口获取数据,
即使在内部也容易造成无意的数据泄露。为了保证接口调用的安全,确保系统不会被恶意使用,
当第三方应用需要通过API访问受保护的资源时,需要通过OAuth认证机制来获得授权。
Open API 通过以下四个步骤来完成认证授权并访问受保护的资源:
1. 获取未授权的Request Token;
2. 请求平台或用户授权的Request Token;
3. 使用授权后的Request Token 换取Access Token;
4. 使用Access Token 访问受保护的资源;
require_once 'examples-config.php';
require_once 'HTTP/OAuth/Consumer.php';

$consumer = new HTTP_OAuth_Consumer($config->consumer_key, $config->consumer_secret);
$consumer->accept($request);

$args = array();
if ($config->method == 'POST' && !empty($_GET['args'])) {
    $args = $config->args;
}

try {
    $consumer->getRequestToken($config->request_token_url, $config->callback_url,
        $args, $config->method);
    echo json_encode(
        array(
            'token'        => $consumer->getToken(),
            'token_secret' => $consumer->getTokenSecret()
        )
    );
} catch (HTTP_OAuth_Consumer_Exception_InvalidResponse $e) {
    echo get_class($e) . "<br>\n" .
        "<br>\n" . $e->getBody() . "<br>\n";
} catch (Exception $e) {
    echo get_class($e) . ': ' . $e->getMessage() . "\n";
}

$consumer = new HTTP_OAuth_Consumer('key', 'secret');
$consumer->getRequestToken('http://example.com/oauth/request_token', $callback);

// Store tokens
$_SESSION['token']        = $consumer->getToken();
$_SESSION['token_secret'] = $consumer->getTokenSecret();

$url = $consumer->getAuthorizeUrl('http://example.com/oauth/authorize');
http_redirect($url); // function from pecl_http

// When they come back via the $callback url
$consumer = new HTTP_OAuth_Consumer('key', 'secret', $_SESSION['token'],
    $_SESSION['token_secret']);
$consumer->getAccessToken('http://example.com/oauth/access_token');

// Store tokens
$_SESSION['token']        = $consumer->getToken();
$_SESSION['token_secret'] = $consumer->getTokenSecret();

// $response is an instance of HTTP_OAuth_Consumer_Response
$response = $consumer->sendRequest('http://example.com/oauth/protected_resource');

另外,通过密码保护管理接口的安全性,设置管理会话超时,调用整个过程是否有加密?等等

参考如下:

Google的OAuth认证系统:
http://code.google.com/intl/zh-CN/apis/accounts/docs/OAuth_ref.html
认证代码接口:
http://oauth.net/code/  参考PHP部分
PEAR 包 HTTP_OAuth:
http://pear.php.net/package/HTTP_OAuth_Provider
一个网站使用的实例:

https://atutor.ca/acontent/demo/documentation/oauth_server_api.php




为了方便日后的维护,此认证流程相对比较麻烦些,所以在此整理一下
参考: http://developer.yahoo.com/oauth/guide/oauth-auth-flow.html

大体介绍:
总流程分为五步,分别是:

  1. 登录Yahoo申请应用,得到consumer key 与 consumer secret
  2. 利用consumer key 与 consumer secret换取oauth_ token,即获取请求令牌
  3. 引导用户在Yahoo进行授权,并返回授权的认证签名参数oauth_verifier,同时之前的oauth_ token也会一并返回
  4. 利用返回的oauth_verifier, oauth_token加上第一步的consumer key 与 consumer secret,加上第二步返回的oauth_token_secret,组合起来向Yahoo换取一个访问令牌oauth_token(此时已经是可以访问用户数据的访问令牌,跟之前的请求令牌不一样)
  5. 当访问令牌失效时,可以提交第四步返回的数据,交换一个新的有效令牌.


具体细节:

  1.   进入http://developer.yahoo.com/ 申请应用,注意App Domain一定要写上自己的域名,不然之后的认证是无法通过的
  2.   在此做了一个引导脚本,此脚本主要通过curl获取一个请求令牌,这里请求地址上务必带上oauth_callback 参数,这样Yahoo返回的参数中就会有一个xoauth_request_auth_url 参数,此参数会引导用户去Yahoo授权,这样可以简化我们去构造它的麻烦,此外,为了在主脚本中能用到参数oauth_token_secret,在此我将它写入cookie中
  3.   当授权成功后,Yahoo会引导用户进入第2步中oauth_callback参数传递过来的地址,并带有两个参数oauth_verifier, oauth_token,接受这两个参数,构造兑换访问令牌的请求地址,在此注意的是oauth_signature 这里根据Yahoo的要求,需要consumer secret与oauth_token_secret,并按consumer secret%26oauth_token_secret的要求赋值,这里我们用的oauth_signature_method方法是PLAINTEXT,不然这oauth_signature的构造方法得遵从Oauth1.0的定义哦
  4.   兑换访问令牌成功后会返回访问令牌oauth_token,用户唯一标识符xoauth_yahoo_guid,还有一个用于刷新过期访问令牌的oauth_session_handle,当然访问令牌的过期时间,这里也一并返回了,让咱们有个过期的心里准备
  5.   到这里了,也就没啥好说的,我很少用到这个功能,要如果真的用的话,也跟第4步一样的请求方式去跟Yahoo打个招呼,他就会返回给你,你想要的了认证做完了,到此处还好,基本一切正常,只是Yahoo的帮助文档内容太少,没有一些代码例子,没有一定的基础还真的不容易懂啊

最让人蛋疼的就是Yahoo的API了,帮助文档上更一笔带过,这叫Yahoo的Oauth1.0怎么能被人广泛使用呢?!
这里,我也是找了一些资料取了一些自己要用的函数,来实现了,因为Yahoo对于API中oauth_signature的要求,非得是HMAC-SHA1,不能是PLAINTEXT,所以这样问题就来了,Yahoo把问题交给了Oauth官网,想必很多开发者都在这里停住了吧,老是返回signature_invalid,看这些字母看得郁闷至极,也找不到帮助资料,怎么办?继续找,终于找到一个半成品,里面正好有关于signature的生成函数,my God看了一下,这里面的生成真是规矩啊,先给它参数排个序,再来hash_hmac加密,就这样,这层纸被捅破了.另外开发者还得了解一下如何用curl发送请求头信息,因为oauth1.0的请求数据都是放在请求头中的(可能这样更有效率,不过怎么更高级版本2.0的怎么就没有这样处理)

眼见为实,点击看demo

比Yahoo提供的SDK简单明了,下载地址

小结一下:
做Yahoo的Oauth1.0认证的朋友,要承受一定的心里压力,要在骂Yahoo的时候,也要相信他,同时基本的技能要扎实
PS:要想用Oauth来得到Yahoo的用户自身的邮箱的朋友,请你获取到后,告诉我一声


CYBEREXP2008
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制解析及IDA和OD逆向
杨秀璋的专栏
03-06 6352
前文分享了MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒,复现了WannaCry勒索病毒。这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇基础性文章对您有所帮助~
[系统安全] 二十二.PE数字签名之(下)微软证书漏洞CVE-2020-0601复现及Windows验证机制分析
杨秀璋的专栏
02-17 1万+
作者前文介绍了什么是数字签名,利用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助。这篇文章将详细介绍微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参
一文带你读懂网宿API安全防护哲学
weixin_57637042的博客
10-09 1343
网宿API安全与管理产品,基于管理—保护—分析的安全管理理念,提供从API的创建、上下线管理到API调用方及调用额度的多方位管控;同时支持对API的持续安全检测,通过身份验证、合规性检测、对象级别授权、请求方法限制、访问控制等技术,实时检测请求流量中的恶意数据及可疑用户,保证企业API服务调用的高可用性及数据安全性。
OAuth 2.0授权框架中文版 [7] - 访问保护资源
李浩好好学习
11-02 218
OAuth 2.0授权框架中文版 [6] - 访问保护资源7. 访问保护资源 - Accessing Protected Resources7.1 访问令牌类型 - Access Token Types7.2 错误响应 - Error Response 7. 访问保护资源 - Accessing Protected Resources 客户端通过向资源服务器出示访问令牌来访问保护资源资源服务器必须检验该访问令牌,确保其未过期,且授权的scope可以访问当前请求的资源资源服务器如何校验访问令牌超出
介绍几种常见数据和API安全保护机制
云计算女士
01-08 1509
数据时代的来临,推动着社会各领域转型升级的加速,但其在加速发展过程中的数据泄露问题也日益凸显,给企业及个人信息的安全带来极大威胁。2018年,据报道有6500起数据泄露事件,暴露了数十亿条潜在的数据滥用记录。在当今的数字互联的世界里,安全几乎总是企业的首要任务,以确保他们的记录是安全的。对于组织来说,实现API安全最佳实践以使它们的集成在系统之间传输的数据处于严格的锁定状态是非常重要的。 什么是...
API安全性设计------让你的接口从此不在裸奔
sky1988818的专栏
01-21 1797
背景:在以HTTP为协议的REST API服务中,我们业务核心代码固然重要,但是如何保证api的安全性也是举足轻重的,本文将从一般接口和资源接口两方面进行讲解。   1 资源接口 资源接口,一般采用主动询问授权的方式,例如oauth2.0来保证资源的安全,这类接口注重资源的安全,不涉及复杂的业务代码,在认证和授权的过程中涉及到三方: 1、资源提供方:提供资源的角色,如照片,视频等。 2、...
分析一个API的调用机制
sxLDWX的专栏
03-29 729
作者:沈鑫 原创作品转载请注明出处 《Linux内核分析》MOOC课程http://mooc.study.163.com/course/USTC-1000029000这次我进行分析的API是getpid()。分别通过C代码和嵌入式汇编程序来对同一个API的调用过程进行分析。 首先我们先来编写一下C代码的调用。C代码非常的简单,唯一值得注意的地方就是不要忘了添加头文件#include <stdi
[系统安全] 五十五.恶意软件分析 (7)IDA Python基础用法及CFG控制流图提取详解[上]
最新发布
杨秀璋的专栏
01-22 1205
前文介绍了软件来源分析,结合网络攻击中常见的判断方法,利用Python调用扩展包进行区域溯源。这篇文章将开启IDA Python学习,首先介绍IDA Python配置过程和基础用法,然后尝试地区恶意软件的控制流图(CFG),再为后续的恶意软件家族分类或溯源提供帮助。由于作者是初学者,因此会遇到很多问题,欢迎各位大佬和读者指导。基础性基础,且看且珍惜。
sso:代码思路及来源为B站视频,非原创
03-24
当用户尝试访问保护资源时,会被重定向到CAS进行身份验证。一旦验证成功,CAS会生成一个票据(ticket),用户携带着这个票据返回到原始请求的应用,应用再与CAS校验票据的有效性,从而确认用户的身份。 1. **...
使用密码保护以太坊JSON-RPC API
mongo_node的专栏
10-29 1098
本文面向以太坊智能合约应用程序开发人员,并讨论如何在密码保护后,安全地运行你的以太坊节点,以便通过Internet进行安全输出。 Go Ethereum(geth)是以太坊节点最欢迎的软件。其他流行的以太坊实现是Parity和cpp-ethereum等。分布式应用程序(Dapps)是JavaScript编码的网页,通过JSON-RPC API协议连接到任何这些以太坊节点软件,该协议是在HTTP协...
wazuh_pentest:自动化滥用未保护的Wazuh API
03-11
wazuh_pentest 自动化滥用未保护的Wazuh API
苹果cms采集提示错误后的解决方法
苹果cms10好看的模板
02-28 7192
1,新安装的苹果CMS在采集时会遇到采集报错的情况,如下图所示! 一般报错基本是语言(vod_lang)和地域(vod_area)两个字段采集的数据超过了数据表字段的类型长度限制 2,解决方法:根据保存提示选择执行下面给出的2种对应SQL语句执行。SQL分别在下图所示地方单独执行 altertable...
WebApi路由机制详解——看完不会用你打我
热门推荐
xiaouncle的博客
11-12 4万+
随着前后端分离的大热,WebApi在项目中的作用也是越来越重要,由于公司的原因我之前一直没有机会参与前后端分离的项目,但WebApi还是要学的呀,因为这东西确实很有用,可单独部署、与前端和App交互都很方便,既然有良好的发展趋势,我们当然应该顺势而为——搞懂WebApi! 从MVC到WebApi,路由机制一直都在其中扮演着重要的角色。 它可以很简单:如果你只需要会用一些简单的路由,如/Home...
Kubernetes api-server 安全访问机制
fengcai_ke的博客
07-11 310
k8s apiserver安全访问机制介绍
去掉底部 Powered by PageAdmin CMS 方法
Sun的专栏
01-09 2554
顶部内容用代吗前加下面这些 &lt;script language="javascript"&gt; var strValue = ""; var strTitle = document.title; document.title = strTitle.replace("-Powered by PageAdmin CMS", strValue);&lt;/script&gt; 底部在\e\user...
API 访问控制最佳实践
weixin_55413092的博客
02-22 4106
API 访问控制最佳实践 需求调研 使用多云服务意味着依赖多种不同 API,默认需要一一创建对应账号。 同一账号下多用户间共享云账号密钥认证身份时,密钥有泄露风险。 同一账号下多用户协同操作时,各用户根据工作所需被授权使用的资源不同,需要对资源有细粒度控制。 在跨域/跨服务的场景中,一级或顶级域名不同的网站,无法读到彼此的客户端信息。 解决方案 使用统一身份认证服务(Identity and Access Management,IAM),控制用户对云服务和资源访问。 当多用户协同操作时,各用户独立
github api 连接出错的几种情况和解决办法
weixin_43820965的博客
03-08 6285
网络连接正常,github也能连接,但是idea terminal 将代码push到远端时无法与github获取连接情况一、使用git pus命令报错——fatal: HttpRequestException encountered.情况二、使用git api接口获取json时报错情况三、使用git api接口获取json时报错 情况一、使用git pus命令报错——fatal: HttpRequ...
API安全设计:OAuth 2.0框架下的保护机制
OAuth 2.0框架的主要特点是,它可以提供基于令牌的认证机制,客户端可以使用令牌来访问资源服务器。OAuth 2.0框架还提供了多种授权类型,例如授权码授权、隐式授权和客户端凭证授权。 在OAuth 2.0框架中,还有多种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值