OAuth 2.0 认证和攻击面

已于 2023-02-25 10:24:27 修改
阅读量1.4k 收藏 2
点赞数 1
分类专栏: WEB 漏洞复现和分析 文章标签: 安全架构 认证 oauth
于 2023-02-25 10:22:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/god_zzz/article/details/129212579
版权

0x00 前提

最近在测试公司的 oauth 认证方面的问题,要再去熟悉一下这块,所以把这块写一下。

0x01 OAuth2.0 概念

OAuth是一个关于授权(authorization)的开放网络标准,目前是最常见最通用的一个授权协议。

什么地方是OAuth2.0,其实这个东西非常的常见,

我们的快捷登录其实都是这个,拿这个举例子

image-20230223164744000

那么为什么要用这个呢这个?

其实道理很简单,我们的网站首先使用这个快捷登录肯定是很方便,那么第三方网站和我们网站肯定是不能互相相信对方的,不可能将用户信息交给对方保存,所以一般情况下OAuth允许用户授予此访问权限,而无需将其登录凭据暴露给请求的应用程序。这意味着用户可以选择他们想要共享的数据,而不必将其帐户的账号密码交给第三方。

0x02 流程梳理

为了方便理解,直接用例子展示,首先我们要分清楚各个角色,我们简单分出4个部分:

resource owner(资源拥有者):就是用户

resource server(资源服务器):我们想要快捷登录的的网站 zeo.cool

User Agent:指浏览器。

authorization server(认证服务器):三方授权服务器(例如 Google授权服务器),服务提供商专门用来处理认证授权的服务器,认证成功后向客户端发出访问令牌资源所有者身份验证,获取授权。

client_id : 这个表示网站后台,我们的 zeo.cool的网站后端

在实际中有四种实现方式:

  • 授权码模式
  • 简化模式
  • 密码模式
  • 客户端模式

0x03 前提

某一个第三方应用 zeo.cool, 应用先去 Google认证中心进行注册。

提供一个回调地址 https://zeo.cool/oauth_calback

然后会得到:

ClientID = 888888 : 这个是我的网站zeo.cool的一个标识符号

ClientsecretID = 6666666 :这个类似私钥,要好好保存,绝对不能公开

0x04 令牌模式

在OAuth2.0中最常用的当属授权码模式

授权码模式(authorization code)是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与"服务提供商"的认证服务器进行互动。

image-20230223173520189

注意:说明步骤(A)、(B)和©的线条在通过用户代理时被分成了两部分。在它们通过用户代理时被分成两部分。

(A)用户访问客户端,客户端将用户引导向认证服务器

客户端申请认证的URI,包含以下参数&

最低0.47元/天 解锁文章
god_Zeo
关注
专栏目录
OAuth 2.0攻击方法及案例总结
乐枕的家
08-01 9267
本文整理了OAuth 2.0攻击面+实际案例+辅助测试代码 OAuth流程本文以两种广泛使用的方案为标准展开. 如对流程不了解,请先移步学习: 理解OAuth 2.0Authorization Code response_type = code redirect_uri scope client_id state Implicit response_type = token redirect_u
Spring Security OAuth2.0认证授权 --- 基础篇
shuai_h的博客
06-19 1092
一、基本概念 1.1、什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认
OAuth2.0 开放认证和授权/互联网标准协议
weixin_30836759的博客
05-23 248
OAuth2.0 目录 展开展开 前言 OAuth 1.0已经在IETF尘埃落定,编号是RFC5849 这也标志着OAuth已经正式成为互联网标准协议。 OAuth 2.0早已经开始讨论和建立的草案。OAuth2.0很可能是下一代的“用户验证和授权”标准。现在百度开放平台,腾讯开放平台等大部分的开放平台都是使用的OAuth 2.0协议作为支撑。 OAuth(开放授权)是一个...
【通俗易懂介绍OAuth2.0协议以及4种授权模式】
最新发布
weixin_44585177的博客
09-22 1859
介绍了OAuth 2.0协议及其4种授权模式和刷新token机制,并且介绍了AuthorizationServerConfigurerAdapter里面三个configure方法的配置说明
OAuth 2.0
OneGoal的博客
11-12 228
OAuth 2.0 标准 https://tools.ietf.org/html/rfc6749 是什么 OAuth 2.0 授权框架使得第三方可以获取对用户资源的访问(有限访问或者完全访问)。 举个例子:通过你的允许,bilibili 可以去微信服务器获取你的头像,昵称,openid 等等。 为什么 传统授权方式,用户和第三方共享密码。缺点如下: 未来可能持续需要访问各种受限资源。所以第三...
spring security oauth2.0 (讲义+代码)
03-10
总而言之,通过学习Spring Security OAuth2.0,开发者能够掌握一套完整的认证授权解决方案,从而为Web应用和API提供安全的访问控制。这个讲义结合代码的实践学习将帮助你深入理解并熟练运用这些概念。
基于Django2.1.2的OAuth2.0授权登录
04-15
实施OAuth2.0时,必须注意安全性,例如避免CSRF攻击,保护好client_secret,限制令牌的使用范围和生命周期,以及使用HTTPS进行通信。 这个基于Django 2.1.2的OAuth2.0授权登录课程设计,可能是为了让学生了解如何...
OAuth2.0原理与攻击面
crystal_shrimps的博客
10-23 1116
文章目录OAuth2.0协议原理令牌与密码OAuth的参与实体OAuth2.0流程授权模式:授权码模式简化模式客户模式密码模式令牌刷新安全漏洞access_token未绑定用户CSRF绑定劫持redirect_url授权劫持简化授权模式授权码模式防御 OAuth2.0协议原理 OAuth 2.0 是目前最流行的授权机制,用来授权第三方应用,获取部分用户数据。 OAuth2.0OAuth协议的下...
Oauth2.0通俗易懂的理解和四种方式
fanbojiayou的专栏
04-26 1362
重点:以下内容来自于阮一峰老师写的资料: http://www.ruanyifeng.com/blog/2019/04/oauth_design.html http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。 这个标准比较抽象,使用了很...
Oauth2.0
Lu_QQ的博客
08-20 148
第一步:引导用户到授权服务器 那需要传递哪些参数呢? response_type:表示响应类型,必选项,此处的值固定为"code"; client_id:表示客户的ID,用来标志授权请求的来源,必选项; redirect_uri:成功授权后的回调地址; scope:表示申请的权限范围,可选项; state:表示客户的当前状态,可以指定任意值,授权服务器会原封不动地返回这个值。 https://graph.qq.com/oauth2.0/authorize?client_id=100410602 &
OAuth2.0
Meiko记录
06-21 291
一、OAuth2.0 为何物 OAuth 简单理解就是一种授权机制,它是在客户和资源所有者之间的授权层,用来分离两种不同的角色。在资源所有者同意并向客户颁发令牌后,客户携带令牌可以访问资源所有者的资源。 OAuth2.0OAuth 协议的一个版本,有2.0版本那就有1.0版本,有意思的是OAuth2.0 却不向下兼容OAuth1.0 ,相当于废弃了1.0版本。 举个小栗子解释一下什么是 OAuth 授权? 在家肝文章饿了定了一个外卖,外卖小哥30秒火速到达了我家楼下,奈何有门禁进不来,可以
Oauth2.0详解及安全使用
weixin_30480075的博客
09-04 875
引言:刚刚参加工作的时候接到的第一个任务就是接入新浪的联合登录功能,当时新浪用的还是oauth1.0协议。接入的时候没有对oauth协议有过多的了解,只是按照开放平台的接入流程进行开发,当时还在想这么麻烦就是为了作一个登录功能?(为当年的无知汗颜...)。再后来上家公司需要开发一套自己的基于oauth2.0的联合登录功能,粗粗的看了下oauth2.0协议流程,自以为了解了便开始设计开发,现在来看真...
OAuth2.0 知多少
weixin_33882443的博客
03-17 114
1. 引言 周末逛简书,看了一篇写的极好的文章,点击大红心点赞,就直接给我跳转到登录界面了,原来点赞是需要登录的。 可是没有我并没有简书账号,一直使用的QQ的集成登录。下面有一排社交登录按钮,我们可以用第三方社交账号登陆即可。点击QQ图标,就给我跳转到了QQ登录授权页面,如下图: 从图片上我们可以看到主要包括两个部分,一个是左边的用户登录,一个是右边告知简书将获取哪些权限。输入QQ账号和密码,...
OAuth2.0安全授权框架详解
OAuth2.0是现代Web服务和API授权的关键协议,它提供了安全、灵活的方法,使第三方应用能够在用户授权的情况下访问受保护的资源,同时保护用户的隐私和控制权。理解并正确实现OAuth2.0协议对于构建可扩展和安全的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值