Oauth2.0的安全运行是否必须使用Https协议?官方总结的安全问题有哪些?(附英文文档分析)

VIP文章 已于 2022-04-17 00:47:27 修改
阅读量3.2k 收藏
点赞数
分类专栏: Oauth2.0 文章标签: 安全
于 2022-04-17 00:21:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/goldenlavabao/article/details/124218561
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

前言

Oauth2.0协议的应用越来越广泛了,呈现了一种全民部署的大状态,介绍规范和安全问题的文章越来越多。而我看到一篇有点误导的科普文章终于坐不住了。刚好在搞毕设,就来浅分析下英文文档。

友善进行讨论^_^

一、Oauth2.0

1.Oauth2.0与Https的关系?

咱们从一些问题快速引入。下面的一些观点来自博客关于oauth2.0安全性你应该要知道的一些事,全部根据官方文档进行讨论。Oauth2.0 rfc6749
在这里插入图片描述

Oauth2.0在不支持Https的网站也能安全使用吗?

额,我觉得这篇文章想说的是“user-agent浏览器-认证服务器不支持Https能安全使用吗”,其实是可以但不安全的,这个问题在本文会正反角度论证给出结论

最低0.47元/天 解锁文章
小老许的巧克力键盘
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Spring RestTemplate 忽略证书访问https的OAuth2 认证站点
oscar999的专栏
01-10 638
本篇介绍使用Spring 的 RestTemplate 如何访问 客户端认证模式 Client Rredentials 的OAuth 2.0 认证的服务。
基于OAuth2.0协议和SSM框架的单点登陆系统+源代码+文档说明
11-11
sso-oauth2 基于OAuth2.0中的授权码模式和JavaEE中的SSM框架进行开发的单点登陆系统 The system of Single sign-on based on OAuth2.0 and SSM. <项目介绍> 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 -------- ----------------------------------------------------------------------------------------
08 | 实践OAuth 2.0时,使用不当可能会导致哪些安全漏洞?
qq_37756660的博客
12-01 1139
好了,以上就是今天的主要内容了。我们一起学习了 OAuth 2.0 相关的常见又比较隐蔽的 5 种安全问题,包括 CSRF 攻击、XSS 攻击、水平越权、授权码失窃、重定向 URI 被篡改。更多关于 OAuth 2.0 安全方面的内容,你也可以去翻阅《OAuth 2 in Action》这本书。通过这一讲的学习,需要记住以下三个知识点:1. 互联网场景的安全攻击类型比如 CSRF、XSS 等,在 OAuth 2.0 中一样要做防范,因为 OAuth 2.0 本身就是应用在互联网场景中。
OAuth2.0的一些疑问
爬不上树的小松鼠
09-26 446
OAuth的一些疑问
Oauth2.0安全问题浅谈
weixin_30633405的博客
12-06 386
大家如果对Oauth还不是很了解可以先看下这篇文章https://www.cnblogs.com/maoxiaolv/p/5838680.html 我这篇博客主要是总结一下安全测试过程中遇到Oauth2.0有哪些可能存在的漏洞,以及如何去测试。 Oauth2.0协议流程: (A)用户打开客户端以后,客户端要求用户给予授权。(比如说你登陆淘宝,但是不想注册淘宝账户,于是淘宝说你可以用QQ登陆哟...
OAuth2的四种模式
乐天派
10-13 3344
现在的互联网流量入口基本上被几大巨头(BAT、TMD)所把持,对于新上线的应用获取用户比较快捷的方式就是通过OAuth2协议接入它们的账号系统。降低用户注册&登录成本,是大部分新上线应用的选择。比如前段时间吵得沸沸扬扬的抖音滥用腾讯系(微信、QQ)用户信息(头像、昵称)事件,就是因为抖音上线时通过OAuth2接入了腾讯系的账号体系,后面未经腾讯同意就将用户信息给多闪使用。 本文将介绍OAu...
oauth2_使用HTTPS和OAuth 2.0保护服务到服务的Spring微服务
cunfen0516的博客
01-05 851
oauth2“我喜欢编写身份验证和授权代码。” 〜从来没有Java开发人员。 厌倦了一次又一次地建立相同的登录屏幕? 尝试使用Okta API进行托管身份验证,授权和多因素身份验证。 如果您使用Spring Boot,Spring Cloud和Spring Cloud Config,则只需最少的代码即可构建微服务架构。 将所有内容打包到Docker容器中,您可以使用Docker Compose...
使用HTTPS和OAuth 2.0保护服务到服务的Spring微服务
最佳 Java 编程
06-12 338
“我喜欢编写身份验证和授权代码。” 〜从来没有Java开发人员。 厌倦了一次又一次地建立相同的登录屏幕? 尝试使用Okta API进行托管身份验证,授权和多因素身份验证。 如果您使用Spring Boot,Spring Cloud和Spring Cloud Config,则只需最少的代码即可构建微服务架构。 将所有内容打包到Docker容器中,即可使用Docker Compose运行所有内...
Oauth2介绍
qq_33430322的博客
04-30 489
此博客是个人理解缩写,如果阅读者有更好的理解可以评论留言,一起交流。 Oauth2介绍 OAuth 2.0 is the industry-standard protocol for authorization. OAuth 2.0 focuses on client developer simplicity while providing specific authorization flows...
python 校验 google (insecure_transport) OAuth 2 MU 需要HTTPS解决
qq_42757053的博客
07-18 580
1.通过设置环境变量 export OAUTHLIB_INSECURE_TRANSPORT=1 2.与上述等效,您可以在Python中进行设置(如果设置环境变量时遇到问题) # Somewhere in webapp_example.py, before the app.run for example import os os.environ['OAUTHLIB_INSECURE_TRANSPORT'] = '1' 转载自:https://stackoverflow.com/questions
基于 OAuth2.0 协议的跨域认证授权开发套件.zip
最新发布
03-07
文档生成工具可以自动生成代码注释文档,便于团队内外理解和使用项目代码。 API管理工具则方便开发者创建、测试、发布和维护API接口。 持续集成与持续部署(CI/CD): Jenkins、Travis CI、GitHub Actions等...
MendeleyPaperReader_Gradle:使用 Mendeley API 的 Android 应用程序
06-02
使用 OAuth 2.0 协议进行身份验证 获取用户文档 获取用户文件夹 获取个人资料 通过电子邮件或短信共享您的文档 查看标有收藏夹的文档 读者以纸计 下载文章 获取群组文件夹和文章 获取标签和注释 每个作者或标题的...
java开源包8
06-28
OAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密 码),即第三方无需使用用户的用户名与密码就可以申请...
JAVA上百实例源码以及开源项目
01-03
2个目标文件,FTP的目标是:(1)提高文件的共享性(计算机程序和/或数据),(2)鼓励间接地(通过程序)使用远程计算机,(3)保护用户因主机之间的文件存储系统导致的变化,(4)为了可靠和高效地传输,虽然用户...
OAuth2.0协议(六)、Oauth2.0不按规范可能会触发的安全问题
it_lihongmin的博客
01-14 2702
首先还是想说需要按照项目环境和需求情况判断是否使用OAuth2.0规范,如果基于自研认证授权系统,自己定义接口和规范。虽然OAuth2.0规范已经很完整、安全性也有保障。但是整个规范有些是必要的,有些是非必须的规范(比如 state字段的传递),那么很可能面临被攻击的风险。 安全攻击和防御就是成本的问题,如果项目本身岌岌无名那么可能都没有人专门写东西进行攻击,没有价值。但是如果项目快速发展到阿里、京东的体量,那么就需要严格按照规范进行重构,下面列举了一些不按照规范进行开发可能会遇到的风险问题。根据现有架
14 | 查漏补缺:OAuth 2.0 常见问题答疑
qq_37756660的博客
12-02 810
今天,专门统一回答了 OAuth 2.0 的共性问题。再来总结下需要掌握的知识点:1. OAuth 协议被发明的目的,就是用令牌代替用户名和密码。2. OAuth 2.0 不能被直接用来“从事”身份认证协议的“工作”。虽然 OAuth2.0使用要求是在 HTTPS 的环境下,但这并不能解决 JWT 令牌对第三方软件“不透明”的问题,还需要进行加密。3. 有了刷新令牌也不能让访问令牌一直有效下去,因为刷新令牌也有有效期。4. ID 令牌是对访问令牌的补充,而不是要替代访问令牌。
Spring Security OAuth 访问OAuth2.0https站点
oscar999的专栏
01-09 506
介绍一下Spring Security OAuth的相关使用
Oauth2.0 安全问题,code,CSRF与PKCE
kidkid1208的博客
03-07 5381
CSRF攻击 上图是OAuth2.0授权码授权流程,可以看到,流程中用户整体发起了两次请求到认证服务器后端,且这两次请求是分离的,因此给攻击者发起CSRF攻击制造了条件。即攻击者通过前三步生成攻击者的含授权码的RedirectURL,引导在webapp上已登陆的用户点击恶意网站上的恶意链接(攻击者的含授权码的RedirectURL),这样就会继续步骤6后续流程,造成webapp登陆的用户账号绑定攻击者的第三方账号。 可以看到,CSRF攻击应用在授权码认证流程的条件是用户必须已经登录了第三方网站。即通过将攻.
oauth2.0协议中文文档
10-18
OAuth 2.0协议是用于授权的开放标准,旨在使用户能够授权第三方应用程序访问其资源,而无需将其凭据(如用户名和密码)直接提供给第三方应用程序。以下是OAuth 2.0协议中文文档的一些重要内容: 1. 术语解释:文档解释了OAuth 2.0协议使用的一些术语,例如“资源所有者”(资源的拥有者,即用户)、“客户端”(需要访问资源的应用程序)以及“授权服务器”(负责验证用户并发布访问令牌的服务器)。 2. 授权流程:文档详细阐述了OAuth 2.0的授权流程。在此流程中,客户端通过向授权服务器发起请求来获取授权,并获得访问令牌。该流程包括用户身份验证、授权许可的获取和令牌颁发等步骤。 3. 授权类型:OAuth 2.0定义了几种授权类型,文档介绍了这些类型及其使用场景。常见的类型包括“授权码模式”(用于Web应用程序)和“密码模式”(用于受信任的应用程序)。 4. 令牌的使用和保护:文档指导开发人员如何使用和保护访问令牌。它提供了一些最佳实践,如使用HTTPS传输令牌、将令牌存储在安全的地方以及定期更新和撤销令牌等等。 5. 错误处理:该文档也包含了许多可能出现的错误和异常情况,并提供了处理这些情况的建议。这些错误可能涉及令牌的无效性、权限不足以及其他安全问题。 总之,OAuth 2.0协议中文文档提供了对该授权标准的详细解释和指导。阅读该文档将帮助开发人员了解OAuth 2.0的工作原理以及如何正确实现该协议,从而确保用户的资源得到安全和可信的访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值