OAuth2.0的一些疑问

最新推荐文章于 2023-04-10 10:40:32 发布
最新推荐文章于 2023-04-10 10:40:32 发布
阅读量464 收藏
点赞数 1
分类专栏: 前端安全 文章标签: OAuth 疑问
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gg_ios/article/details/101453881
版权

目录

本文不介绍OAuth,只是记录我对OAuth的一些疑问,对OAuth的学习,建议移步的阮一峰的网络日志-OAuth篇。另外下面OAuth指的都是2.0版本

1. 授权码(code)不担心暴露么?

不担心。该码有效期通常为10分钟,并且与客户端ID和重定向URI,是一一对应关系。另外授权码只能用一次,第二次使用会让使用该授权码获取的token失效,所以攻击者最多会让你出现登录意外失败,但无法获取你的数据

2. 图示OAuth完整流程

app和web的流程是一样的
也可以直接跟第三方平台交互获取token,取决于你们后端是否支持

app

3. 每次第三方登录,都需要重新走第二步的全部流程么?

假设用户已经获得授权,则下次登录时只需要验证access_token是否有效,无效则重新获取授权,有效则无需重新获得授权。

4. OAuth 2.0 CSRF攻击

正常的授权流程如下

  1. 李四登录A网站,并跳转OAuth提供者B,B授权后将重定向到www.AAAA.com?code=xxxxxxx
  2. A拿到code后想B请求token,A拿到token后向B请求李四在B上的个人信息,比如unionid
  3. A在拿到unionid后会将李四在A网站上的uid进行绑定,从而实现李四在B上的账号可以登录A网站

CSRF的流程

  1. 李四登录A网站,并跳转OAuth提供者B,B授权后将重定向到www.AAAA.com?code=xxxxxxx
  2. 李四拿到这个Code之后不继续想B请求token,而是想办法诱导张三访问www.AAAA.com?code=xxxxxxx
  3. 此时A就拿着李四的code去请求token,并获取李四的unionid
  4. 在进行绑定时就是将李四B账号与张三A账号进行绑定
  5. 最后李四就可以利用自己的B账号登录张三的A账号,进行为所欲为的操作
  6. 备注:因为code的时效性,这种攻击需要被攻击者在code有效期内完成

解决方案

  1. 在第一步传重定向地址的同时传一个state
  2. 在授权成功进行重定向是B也会将state传给重定向地址www.AAAA.com?code=xxxxxxx&state=wwwwww
  3. 在A用code向B获取token前对state做验证,验证不通过就判定是异常请求

state参数值需要具备下面几个特性:

  1. 不可预测性:足够的随机,使得攻击者难以猜到正确的参数值
  2. 关联性:state参数值和当前用户会话(user session)是相互关联的
  3. 唯一性:每个用户,甚至每次请求生成的state参数值都是唯一的
  4. 时效性:state参数一旦被使用则立即失效

4. OAuth1.0和OAuth2.0区别

2.0授权过程

  1. 引导用户到授权服务器,请求用户授权,用户授权后返回 授权码(Authorization Code)
  2. 客户端由授权码到授权服务器换取访问令牌(access token)
  3. 用访问令牌去访问得到授权的资源

1.0授权过程

  1. 客户端到授权服务器请求一个授权令牌(request token&secret)
  2. 引导用户到授权服务器请求授权
  3. 用授权令牌到授权服务器换取访问令牌(access token&secret)
  4. 用访问令牌去访问得到授权的资源

安全性

  1. 1.0的数据传输安全是基于签名,2.0是基于https
  2. 1.0没有对重定向地址做任何验证也没有做签名,1.0a紧急修复让重定向地址参与签名。2.0取消签名,但授权方会对重定向地址进行校验(开发者会向授权方提交域名)

疑问

  1. 1.0中即使重定向地址被修改,最多造成用户无法正常完成授权,攻击者在有授权令牌没有appid和appSecret的情况下也做不了什么事情啊,但为什么有些地方说可以攻击方还是可以等到到被攻击者的账号。
爬不上树的小松鼠
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
搞懂oauth2.0授权码模式
哇哦~
05-25 2771
最早的简单登录 图1 去访问一个网站,如果登录的话,需要注册,填一堆信息,用户名密码啥的,通常密码是前端加盐、哈希(md5,sha1等)然后再发给后端,后端存储起来,不能直接存储明文。然后再跳转到登录页面,输入用户名和密码,后端验证用户名和密码,如果成功了返回一个session id,然后前端就可以结合cookie使用。 问题: 1.安全性,需要对密码的加密有一个万全的应对之策 2.维护麻烦,用户用起来也麻烦 比较早的授权登录 后来yelp试图解决这些问题,如下图所示 图2 想用什么登录就
OAuth 2.0 文档
weixin_40809507的博客
10-16 2588
OAuth 2.0 文档 初见OAuth2.0 ​ OAuth 2.0是一个业界标准的授权协议,其定义了四种可以适用于各种应用场景的授权交互模式:授权码模式、应用授信模式、用户授信模式、简化模式。其中,授权码模式被广泛应用于第三方互联网开放平台,通过第三方登录是其最常见应用场景之一,比如使用微信、QQ和淘宝账号进行登录。 ​ OAuth 2.0 官方文档地址:https://tools.ietf.org/html/rfc6749#section-4.3.2 一、情景再现: ​ [外链图片转存失败,源站可
OAuth2】Spring Security OAuth2 授权码模式
hkk666123的博客
05-06 1257
文章目录背景介绍扩展(1)`spring-security-oauth2`获取code的controller:(2)扩展的`userApprovalHandler`生效应用(1)获取code值(2)获取accessToken(有效期暂定72h)(3)获取refreshToken(4)访问资源(用户信息) 背景 由于业务实现中涉及到接入第三方系统(app接入有赞商城等),所以涉及到第三方系统需要获取用户信息(用户手机号、姓名等),为了保证用户信息的安全和接入方式的统一,采用Oauth2四种模式之一的授权码模式
Gateway, Zuul, Oauth2.0, 前后端分离, 定制页面,登录回调接口的处理
asd43211234的博客
01-31 1443
alexa, oauth2.0授权码
oauth2.0 授权码模式的一些思考
博客
02-21 324
如果没有code,在用户授权完成后,授权服务携带access_token调用三方服务的后端接口,将access_token 交给第三方服务的后端,不能通过重定向的方式进行(access_token 不能暴露在浏览器中,避免泄漏)。这样的话,用户点击完授权后,不能跳转回第三方软件,一直在授权页面 体验不好,当然 第三方服务拿到token后,可以自己重定向回自己的页面。相对来说比较麻烦。
OAuth2.0实现过程
DaZhi_boy的博客
07-14 433
第一步:请求三方登录传递client_id,response_type,redirect_url 第二步:获取请求信息:client_id=earth,redirect_uri=http://127.0.0.1:8080/client-web/user/agreelogin,response_type=code 第三步:用户在统一登录平台登录成功:username=superman,passwo
OAuth_20:OAuth 2.0提供程序和客户端Java示例
04-29
有关OAuth2.0的问题,请直接阅读上面的RFC文档。 此代码可用于非商业目的。 请不要将其用于商业目的。 该代码由拥有版权。 A.环境 Oracle 10g Express(可用的H2数据库) Java 1.6 + Spring 3.1 + Eclipse...
oauth2.0接口java版编程实例,倾情给你详细的技术细节
03-04
真情大奉献,给你详细的技术细节,里面有作者的联系方式,有疑问的话,欢迎随时交流,一起提高,一起进步哦亲!
google-oauth2-spring
05-26
具有Spring安全性的Google OAuth2... 这是带有标准Spring of Resource Server的Google OAuth 2.0的示例实现。 有一篇博客文章,介绍了有关类及其实现方式的说明,可以在以下位置找到: : 如有任何疑问,请在我联系。
here-aaa-java-sdk:这里身份验证,授权和计费Java客户端库
05-08
此处身份验证,授权和计费 ...包含帮助开发人员从HERE OAuth2.0授权服务器获得授权以与HERE Services一起使用的代码。 <groupId>com.here.account</groupId> <artifactId>here-oauth-client <version>0.4
Calendar Synchronization - SyncPenguin-crx插件
04-03
之后,您需要输入Google和Microsoft帐户的凭据(通过授权的OAuth 2.0端点)。 单击“开始”按钮后,您的同步已设置完毕。 同步每5分钟执行一次。 请注意,目前不支持定期会议。 另请注意,SyncPenguin不会存储您的...
为什么OAuth2里面在获取access token之前一定要先获取code,然后再用code去获取access token
qq_25123887的博客
09-25 2498
为什么OAuth2里面在获取access token之前一定要先获取code,然后再用code去获取access token 为什么OAuth2里面在获取access token之前一定要先获取code,然后再用code去获取access token oauth2在获取access_token之前,一定要先获取code,主要是因为安全原因: code需要设置过期时间,一般设置的过期时间非常短,如10分钟等,用户需要在短时间内通过code换取access_token,避免code被第三方拦截。当然,即便这种情
零散专题29 OAuth 2.0
多啦的博客
04-28 325
已同步到个人博客,欢迎访问。 定义 OAuth是一种授权机制,数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用。 例子 举个例子,京东App要求访问我的微信头像和昵称,这里面,我是数据的所有者,而微信就是服务提供商,也就是上面的系统,而京东就是第三方的客户端。 当京东要求获取我的微信数据时,我不会将我的...
Oauth2--- 授权码模式(authorization_code)过程
silmeweed的博客
09-28 8225
一、获取授权码Code: 访问授权服务器 /oauth/authorize 端点:(只用于"implicit", "authorization_code") GET: http://127.0.0.1:8080/oauth/authorize?client_id=client&response_type=code&redirect_uri=http://www.baidu...
Oauth2框架下解决druid管理界面访问拦截问题
单纯的叶子、的博客
02-23 985
想查看一下数据sql查询情况,发现druid管理界面访问不了,直接重定向到了Oauth2登录界面,原因是Oauth2框架拦截了druid管理界面的访问请求。 话不说,直接修改代码,开放druid访问限制。 @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() //开放druid访问
SpringBoot Oauth2.0认证授权使用 集成第三方账号
Saber__Love的博客
05-07 2224
前言 第一次看到oauth2.0的时候说实话心里是迷茫且惧怕的,自己也有下去小小的了解过,对用户信息反复交互的情况自我感觉掌握度很差。但是在真实完整地去接触学习开发一套涉及完整oauth2.0认证流程之后,我对它又有了新的理解。怎么说呢,由浅入深吧。 oauth2.0认证流程介绍 在真正开始开发之前,我们得先了解oauth2.0整体的运行流程,为什么我们要使用这套流程?我们要用这个流程去做什么内容,这些内容应该怎样去实现。 首先,什么是oauth2.0? 这是本人百度找到的图片,看着蛮简单易...
SpringSecurityOAuth2登录后无法跳转获取授权码地址,直接跳转根路径原因详解
oPeiJie1的博客
04-10 2541
至于UserDetailsService、TokenConfig、ResourceServerConfig 令牌配置、AuthorityServerConfig、Controller请自行到本文开头提到的那篇文章中查看。
matlab下载.pdf
最新发布
07-14
matlab下载下载方式及注意事项
java实现oauth2.0_Java的oauth2.0 服务端与客户端的实现
06-13
OAuth2.0是一种授权框架,被广泛应用于第三方应用程序的授权访问。其主要功能是允许用户使用自己的账户授权第三方应用程序来访问受保护的资源。Java中有很多开源的OAuth2.0库,可以用于实现OAuth2.0服务端和客户端。 以下是Java实现OAuth2.0服务端和客户端的一些库: 1. Spring Security OAuth2:Spring Security OAuth2是一个基于Spring Security的OAuth2.0实现。它提供了OAuth2.0授权服务和资源服务器支持,包括JWT、OAuth2.0令牌存储和管理等功能。 2. Apache Oltu:Apache Oltu是一个Java实现的OAuth2.0和OpenID Connect的开源库。它提供了OAuth2.0客户端和服务端的实现,包括JWT支持、授权码模式、令牌存储和管理、跨域资源共享等功能。 3. Pac4j:Pac4j是一个Java安全框架,提供了OAuth2.0和OpenID Connect的客户端和服务端实现。它支持多种OAuth2.0授权流程,包括授权码、隐式授权、客户端凭证授权、密码授权等。 4. Google OAuth Client Library for Java:Google OAuth Client Library for Java是Google官方提供的Java OAuth2.0客户端库。它提供了OAuth2.0授权流程和令牌管理的实现,可以用于访问Google API和其他OAuth2.0受保护的资源。 以上是Java实现OAuth2.0服务端和客户端的一些库,你可以根据自己的需要选择合适的库进行实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值