Oauth2.0的安全运行是否必须使用Https协议?官方总结的安全问题有哪些?(附英文文档分析)

已于 2022-04-17 00:47:27 修改
阅读量3.4k 收藏
点赞数
分类专栏: Oauth2.0 文章标签: 安全
于 2022-04-17 00:21:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/goldenlavabao/article/details/124218561
版权
文章探讨了OAuth2.0协议与HTTPS的关系,指出尽管用户代理(user-agent)理论上可以不使用HTTPS,但这样做并不安全。官方文档强调在涉及敏感信息时必须使用TLS。OAuth2.0中,不使用HTTPS可能导致令牌重放攻击等安全风险。文章还提及OAuth1.0a的安全优势,但因其复杂性,开发者更倾向于使用OAuth2.0结合HTTPS保障安全。
摘要由CSDN通过智能技术生成

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

前言

Oauth2.0协议的应用越来越广泛了,呈现了一种全民部署的大状态,介绍规范和安全问题的文章越来越多。而我看到一篇有点误导的科普文章终于坐不住了。刚好在搞毕设,就来浅分析下英文文档。

友善进行讨论^_^

一、Oauth2.0

1.Oauth2.0与Https的关系?

咱们从一些问题快速引入。下面的一些观点来自博客关于oauth2.0安全性你应该要知道的一些事,全部根据官方文档进行讨论。Oauth2.0 rfc6749
在这里插入图片描述

Oauth2.0在不支持Https的网站也能安全使用吗?

额,我觉得这篇文章想说的是“user-agent浏览器-认证服务器不支持Https能安全使用吗”,其实是可以但不安全的,这个问题在本文会正反角度论证给出结论
但这里说法给人有点误导,客户端服务器端-认证服务器端是不行的,Oauth2.0本质还是明文传输消息,消息使用TLS(Transport Layer Security)进行加密。

先来看看官方文档规定了几个提到TLS的地方8
在这里插入图片描述
翻译之后的意思就是:
任何使用客户端凭证涉及到密码的时候,授权服务器必须使用TLS,来防

最低0.47元/天 解锁文章
小老许的巧克力键盘
关注
专栏目录
Spring Security OAuth 访问OAuth2.0https站点
oscar999的专栏
01-09 609
介绍一下Spring Security OAuth的相关使用
oauth2_使用HTTPS和OAuth 2.0保护服务到服务的Spring微服务
cunfen0516的博客
01-05 907
oauth2“我喜欢编写身份验证和授权代码。” 〜从来没有Java开发人员。 厌倦了一次又一次地建立相同的登录屏幕? 尝试使用Okta API进行托管身份验证,授权和多因素身份验证。 如果您使用Spring Boot,Spring Cloud和Spring Cloud Config,则只需最少的代码即可构建微服务架构。 将所有内容打包到Docker容器中,您可以使用Docker Compose...
帮你深入理解OAuth2.0协议
热门推荐
SecCloud的专栏
11-16 12万+
1. 引言 如果你开车去酒店赴宴,你经常会苦于找不到停车位而耽误很多时间。是否有好办法可以避免这个问题呢?有的,听说有一些豪车的车主就不担心这个问题。豪车一般配备两种钥匙:主钥匙和泊车钥匙。当你到酒店后,只需要将泊车钥匙交给服务生,停车的事情就由服务生去处理。与主钥匙相比,这种泊车钥匙的使用功能是受限制的:它只能启动发动机并让车行驶一段有限的距离,可以锁车,但无法打开后备箱,无法使用车内其他
Oauth2.0 安全问题,code,CSRF与PKCE
kidkid1208的博客
03-07 5564
CSRF攻击 上图是OAuth2.0授权码授权流程,可以看到,流程中用户整体发起了两次请求到认证服务器后端,且这两次请求是分离的,因此给攻击者发起CSRF攻击制造了条件。即攻击者通过前三步生成攻击者的含授权码的RedirectURL,引导在webapp上已登陆的用户点击恶意网站上的恶意链接(攻击者的含授权码的RedirectURL),这样就会继续步骤6后续流程,造成webapp登陆的用户账号绑定攻击者的第三方账号。 可以看到,CSRF攻击应用在授权码认证流程的条件是用户必须已经登录了第三方网站。即通过将攻.
OAuth2.0 https
weixin_33724059的博客
12-23 483
/** * OAuth 认证 * @throws Exception */ public String requestYimallOAuth() throws Exception { TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() { ...
微服务 oauth2_OAuth2微服务的安全
weixin_39649965的博客
01-15 199
前言公开由许多微服务组成的公共访问API时要考虑的最重要方面之一是安全性。Spring具有一些有趣的功能和框架,使我们的微服务安全性配置更加容易。在本文中,我将向您展示如何使用Spring Cloud和Oauth2在API网关后面提供令牌访问安全性。理论目前,所有主要网站都使用OAuth2标准,允许您通过共享API访问其资源。它是一种开放授权标准,允许用户将存储在一个页面中的私有资源共享到另一页面...
OAuth2.0协议中文版.pdf
01-05
OAuth 2.0是一个应用之间访问数据的开源授权协议,它提供了安全的、授权的方式,让第三方应用可以访问用户在不同服务提供商(例如社交媒体平台、在线服务等)上的受保护资源。该协议定义了一种机制,使得用户可以...
cas3.5.0集成oauth2.0协议
03-21
**OAuth2.0协议概述** OAuth2.0是一种授权框架,允许第三方应用在用户许可的情况下,访问特定资源。它主要用于安全地实现用户数据的共享,比如社交媒体登录、云存储服务等。OAuth2.0的核心是将用户的授权过程与实际...
OAuth2.0授权码模式实战教程
最新发布
kkchenjj的博客
07-17 1153
重定向用户至授权服务器:客户端应用将用户重定向到授权服务器的授权端点。用户授权:用户在授权服务器上登录并授权客户端应用访问其资源。授权码返回:授权服务器将用户重定向回客户端应用,并带一个授权码。交换访问令牌:客户端应用使用授权码向授权服务器请求访问令牌。
SharePoint+OAuth2.0
11-12
7. **安全与令牌过期**:OAuth2.0令牌有其有效期,过期后需要刷新。SharePoint客户端应处理令牌的刷新逻辑,确保即使令牌过期也能安全地重新获取权限。 8. **Scopes and Permissions**:OAuth2.0的范围(Scopes)...
yii2-oauth2-server, 用于实现OAuth2服务器的包装器( https.zip
09-18
yii2-oauth2-server, 用于实现OAuth2服务器的包装器( https yii2-oauth2-server用于实现OAuth2服务器的包装器( https://github.com/bshaffer/oauth2-server-php 插件)安装安装这里扩展的首选方法是通过 Composer 。运行
Java的oauth2.0 服务端与客户端的实现(源码)
10-31
Java的oauth2.0 服务端与客户端的实现源码下载,里面两个maven项目:oauthserver和oauthclient01。
python 校验 google (insecure_transport) OAuth 2 MU 需要HTTPS解决
qq_42757053的博客
07-18 632
1.通过设置环境变量 export OAUTHLIB_INSECURE_TRANSPORT=1 2.与上述等效,您可以在Python中进行设置(如果设置环境变量时遇到问题) # Somewhere in webapp_example.py, before the app.run for example import os os.environ['OAUTHLIB_INSECURE_TRANSPORT'] = '1' 转载自:https://stackoverflow.com/questions
使用 HTTPS 和 OAuth 2.0 保护服务到服务的 Spring 微服务
专业的开发者“讨论”
04-23 1045
在本文中,我将向您展示如何使用HTTPS和OAuth 2.0保护服务到服务的通信。
使用HTTPS和OAuth 2.0保护服务到服务的Spring微服务
最佳 Java 编程
06-12 373
“我喜欢编写身份验证和授权代码。” 〜从来没有Java开发人员。 厌倦了一次又一次地建立相同的登录屏幕? 尝试使用Okta API进行托管身份验证,授权和多因素身份验证。 如果您使用Spring Boot,Spring Cloud和Spring Cloud Config,则只需最少的代码即可构建微服务架构。 将所有内容打包到Docker容器中,即可使用Docker Compose运行所有内...
OAuth2 禁用 https检查
lxp6164的博客
04-12 1538
可以配置环境变量: export OAUTHLIB_INSECURE_TRANSPORT=1 或者在会执行的文件里面修改环境变量,比如配置文件里: import os os.environ[‘OAUTHLIB_INSECURE_TRANSPORT’] = ‘1’ 参考:https://stackoverflow.com/questions/27785375/testing-flask-oauthl...
oauth2登录页跳转改为https
小馒头味的博客
10-29 817
在WebSecurityConfigurerAdapter实现类中重写configure方法,补充以下处理逻辑: http .and() .loginPage("https://xxx")//指定请求自定义登录页地址https .loginProcessingUrl("/login")//指定登录请求处理地址(这个地址是oauth2处理地址,Post请求) ...
OAuth2-安全授权的标准协议
陈海龙的格物之路
11-30 457
通过这篇文章,你可以了解OAuth2是什么,以及需要做什么。
Oauth2介绍
qq_33430322的博客
04-30 552
此博客是个人理解缩写,如果阅读者有更好的理解可以评论留言,一起交流。 Oauth2介绍 OAuth 2.0 is the industry-standard protocol for authorization. OAuth 2.0 focuses on client developer simplicity while providing specific authorization flows...
SpringBoot实现OAuth2.0客户端与服务端的Maven示例
资源摘要信息:"本文档提供了一个使用Maven构建的Spring Boot示例,旨在展示如何搭建一个基于OAuth 2.0协议的授权平台。在这个例子中,包括了两个主要部分:客户端(oauth2-client)和服务端(oauth2-server)。...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值