OAuth2.0协议(六)、Oauth2.0不按规范可能会触发的安全问题

最新推荐文章于 2024-05-12 11:52:53 发布
最新推荐文章于 2024-05-12 11:52:53 发布
阅读量2.7k 收藏
点赞数
分类专栏: 认证授权 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/it_lihongmin/article/details/122496315
版权

首先还是想说需要按照项目环境和需求情况判断是否要使用OAuth2.0规范,如果基于自研认证授权系统,自己定义接口和规范。虽然OAuth2.0规范已经很完整、安全性也有保障。但是整个规范有些是必要的,有些是非必须的规范(比如 state字段的传递),那么很可能面临被攻击的风险。

安全攻击和防御就是成本的问题,如果项目本身岌岌无名那么可能都没有人专门写东西进行攻击,没有价值。但是如果项目快速发展到阿里、京东的体量,那么就需要严格按照规范进行重构,下面列举了一些不按照规范进行开发可能会遇到的风险问题。根据现有架构不一定使用最高大上的架构,架构适合的才是最好的,一定要知道当前项目当下最适合的形态,有没有风险问题。

下面整理了一些Oauth2.0不按规范可能会触发的安全问题:

 

it_lihongmin
关注
专栏目录
【漏洞挖掘】——143、 逻辑漏洞之OAuth 2.0认证缺陷刨析(中)
Fly_鹏程万里
07-29 260
OAuth服务本身的配置缺陷可能使攻击者能够窃取Authorization Code或访问与其他用户帐户相关的token,通过窃取有效的Code或Token,攻击者可以访问受害者的数据,最终可能完全损害他们的帐户——攻击者可能以受害者用户的身份登录到此OAuth服务注册的任何客户端应用程序。
【漏洞挖掘】——142、 逻辑漏洞之OAuth 2.0认证缺陷刨析
最新发布
Fly_鹏程万里
07-29 440
我们在浏览到一个网页时经常遇到需要使用一段第三方社交媒体的账户(Github、Facebook等)登录的情况,而这种大多数都是使用OAuth 2.0框架构建的,关于此项技术之前只是在一些功能站点中作为用户来使用并未对此进行深入研究,最近出于对OAuth 2.0的安全评估需求,对OAuth 2.0的身份认证过程和安全脆弱性进行了一个从零到一的梳理并以文章方式呈现,本篇文章将着重介绍OAuth身份认证的原理、OAuth 身份认证过程中存在的安全问题以及如何正确使用OAuth进行身份认证。
Day979.OAuth2.0可能存在的安全问题 -OAuth 2.0
阿昌爱Java
08-26 639
OAuth 2.0 相关的常见又比较隐蔽的 5 种安全问题,包括 CSRF 攻击、XSS 攻击、水平越权、授权码失窃、重定向 URI 被篡改。互联网场景的安全攻击类型比如 CSRF、XSS 等,在 OAuth 2.0 中一样要做防范,因为 OAuth 2.0 本身就是应用在互联网场景中。除了常见的互联网安全攻击,OAuth 2.0 也有自身的安全风险问题,比如授权码失窃、重定向 URI 被篡改。
Oauth2.0 安全问题,code,CSRF与PKCE
kidkid1208的博客
03-07 5563
CSRF攻击 上图是OAuth2.0授权码授权流程,可以看到,流程中用户整体发起了两次请求到认证服务器后端,且这两次请求是分离的,因此给攻击者发起CSRF攻击制造了条件。即攻击者通过前三步生成攻击者的含授权码的RedirectURL,引导在webapp上已登陆的用户点击恶意网站上的恶意链接(攻击者的含授权码的RedirectURL),这样就继续步骤6后续流程,造成webapp登陆的用户账号绑定攻击者的第三方账号。 可以看到,CSRF攻击应用在授权码认证流程的条件是用户必须已经登录了第三方网站。即通过将攻.
关于 OAuth2.0 安全
Theropod的博客
06-03 1212
关于OAuth2.0的基础知识可以看阮一峰大神的网络日志 这里还有一个关于安全性的讲解,举了不少实例关于 OAuth2.0 安全性你应该要知道的一些事
「 典型安全漏洞系列 」12.OAuth 2.0身份验证漏洞攻击思路
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-06 2232
OAuth是一种常用的授权框架,使网站和web应用程序能够请求对另一个应用程序上的用户帐户的有限访问。OAuth允许用户在不向请求的应用程序公开其登录凭据的情况下授予此访问权限。这意味着用户可以调整他们想要共享的数据,而不必将其帐户的完全控制权交给第三方。集成需要从用户帐户访问某些数据的第三方功能(设计之初的场景)。例如,应用程序可能使用OAuth请求访问您的电子邮件联系人列表,以便建议与之联系的人员。提供第三方身份验证服务(广泛使用的场景),允许用户使用他们在不同网站上的帐户登录。
微服务应用之OAuth2.0的四种授权方式
weixin_45974176的博客
09-26 4065
看完你就oauth2.0的四种授权方式是如何工作的了
OAuth:.NET 5中的OAuth 2.0实现
04-03
OAuth 2.0是当前最广泛使用的授权框架,它允许第三方应用安全地访问用户的资源,而无需知道用户的原始密码。在.NET 5中,开发人员可以利用Microsoft.AspNetCore.Authentication.OAuth库来实现OAuth 2.0的功能。这个...
Android OAuth2.0 令牌过期自动刷新
iOS野狼的专栏
09-17 589
说明: 做项目Spotify 实现OAuth2.0登录 根据API进行数据获取、交互等,获取的令牌有效期只有30分钟,令牌失效那么API获取数据就失败,这就要实现令牌过期自动刷新功能了。另外API中接口使用了POST、GET、PUT、DELETE等请求方式,我们不可能每次都要去写这些不同网络请求,于是有了封装网络请求通吃POST、GET、PUT、DELETE等请求方式并实现自动刷新令牌 代码其中第一个没有传入Context上下文参数的是不带菊花的,因为有时候需要直接加载或者默默加载数据,第二种是.
OAuth2标准文档(RFC6749)
12-11
OAuth2标准文档(RFC6749),访问不了文档源地址的可以从这里下载
OAuth 2.0设计规范
一叶知春秋
05-20 1569
OAuth2.0接口设计规范说明 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务器提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们数据的所有内容。
10 | 串讲:OAuth 2.0的工作流程与安全问题
weixin_39924752的博客
03-11 172
安全防护的过程一直都是“魔高一尺道高一丈”,相互攀升的过程。因此,在使用 OAuth 2.0 的过程中,第三方软件和平台方都要有足够的安全意识,来把“安全的墙”筑得更高。比如,你没有遵循授权服务中的授权码只能使用一次、第三方软件的重定向 URL 要精确匹配等建议。第三软件拿到访问令牌之后,就可以使用访问令牌来代表用户去访问用户的数据了。但是,如果直接返回到前端页面上,访问令牌是很容易被通过浏览器截获的,所以显然不可取。第三方软件的后端和授权服务的后端之间通信,这样就可以避免令牌被直接暴露的问题
OAuth 2.0 规范是什么?
weixin_44944440的博客
05-12 724
OAuth 2.0是一套规范,这个规范可以构成一个完整的授权框架,即基于这种规范下实现的授权过程可以安全的完成授权过程。规范中详细说明了授权的八种模式,以及多种授权的方式。可以根据不同的应用场景,选择合适的授权方案以及授权模式。OAuth 专注于处理授权的过程,并不对认证过程有什么指导。
从前端安全出发理解OAuth2.0
dzqxwzoe的博客
02-01 388
在整个OAuth2.0授权认证流程中,绝大部分的通信发生在第三方应用的服务端与授权服务器之间这就可以保证这部分通信是不被攻击者窃取的,但是还有一部分通信流程是可能被暴露在攻击者眼前的,就如第三方应用的客户端与服务端之间的通信可能就被用户手机自动连接上的免费wifi所监听着。而绑定劫持则恰恰相反,绑定劫持指的是攻击者诱骗被攻击者登录了攻击者的账号,比如被攻击者的游戏账号被诱骗登录并绑定了攻击者的账号,那么攻击者便可以顺理成章的登录上被攻击者的游戏账号了。以下的几个回调地址就是攻击者构造的恶意地址的典型。
Spring Cloud OAuth2.0安全之路(一) 搭建OAuth2.0服务
Bigger-Xu
03-02 635
Spring Cloud OAuth2.0安全之路(一) 搭建OAuth2.0服务 1.创建SpringBoot项目,导入相关的包,工程结构如下: 2.pom文件代码示例: <parent> <artifactId>cloud-root</artifactId> <groupId>com.cto.cloud<...
08 | 实践OAuth 2.0时,使用不当可能导致哪些安全漏洞?
qq_37756660的博客
12-01 1320
好了,以上就是今天的主要内容了。我们一起学习了 OAuth 2.0 相关的常见又比较隐蔽的 5 种安全问题,包括 CSRF 攻击、XSS 攻击、水平越权、授权码失窃、重定向 URI 被篡改。更多关于 OAuth 2.0 安全方面的内容,你也可以去翻阅《OAuth 2 in Action》这本书。通过这一讲的学习,需要记住以下三个知识点:1. 互联网场景的安全攻击类型比如 CSRF、XSS 等,在 OAuth 2.0 中一样要做防范,因为 OAuth 2.0 本身就是应用在互联网场景中。
OAuth2.0之路一(获取此资源的范围不足)
qq_38038507的博客
08-07 472
根据搜索资料找到由于 UserInfoTokenServices 类未能从请求中提取范围,因此没有将它们添加到新的 OAuth2Request 中造成的。
第一章 OAuth2.0规范(史上最详细解释)——介绍
后来者居上
12-14 1127
在传统的客户端-服务器身份验证模式中,客户端请求服务器上访问受限的资源(受保护的资源)时,需要使用资源所有者的凭据在服务器上进行身份验证。资源所有者为了给第三方应用提供受限资源的访问权限,需要与第三方共享它的凭据。第三方应用需要存储资源所有者的凭据以供将来使用。该凭据通常是明文密码。服务器需要支持密码身份认证,尽管密码认证有固有的安全缺陷。第三方应用获得了对资源所有者的受保护资源的过于宽泛的访问权限,从而导致资源所有者不能限制对资源的有限子集的访问时限或权限。
微信OAuth2.0 PC扫码登录示例:Node.js实现与流程详解
本文将详细介绍如何在基于Node.js的项目中实现微信PC扫码登录的OAuth2.0流程。首先,你需要在微信开放平台上注册一个网页应用,获得AppId和AppSecret,这是进行微信登录授权的关键身份凭证。这些步骤涉及到了平台的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值