OAuth2.0协议(六)、Oauth2.0不按规范可能会触发的安全问题

最新推荐文章于 2024-04-25 15:59:36 发布
最新推荐文章于 2024-04-25 15:59:36 发布
阅读量2.6k 收藏
点赞数
分类专栏: 认证授权 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/it_lihongmin/article/details/122496315
版权

首先还是想说需要按照项目环境和需求情况判断是否要使用OAuth2.0规范,如果基于自研认证授权系统,自己定义接口和规范。虽然OAuth2.0规范已经很完整、安全性也有保障。但是整个规范有些是必要的,有些是非必须的规范(比如 state字段的传递),那么很可能面临被攻击的风险。

安全攻击和防御就是成本的问题,如果项目本身岌岌无名那么可能都没有人专门写东西进行攻击,没有价值。但是如果项目快速发展到阿里、京东的体量,那么就需要严格按照规范进行重构,下面列举了一些不按照规范进行开发可能会遇到的风险问题。根据现有架构不一定使用最高大上的架构,架构适合的才是最好的,一定要知道当前项目当下最适合的形态,有没有风险问题。

下面整理了一些Oauth2.0不按规范可能会触发的安全问题:

 

it_lihongmin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth2.0规范
03-26
OAuth2.0协议规范OAuth 2.0很可能是下一代的“用户验证和授权”标准,目前在国内还没有很靠谱的技术资料。此文档是OAuth2协议
Day979.OAuth2.0可能存在的安全问题 -OAuth 2.0
阿昌爱Java
08-26 483
OAuth 2.0 相关的常见又比较隐蔽的 5 种安全问题,包括 CSRF 攻击、XSS 攻击、水平越权、授权码失窃、重定向 URI 被篡改。互联网场景的安全攻击类型比如 CSRF、XSS 等,在 OAuth 2.0 中一样要做防范,因为 OAuth 2.0 本身就是应用在互联网场景中。除了常见的互联网安全攻击,OAuth 2.0 也有自身的安全风险问题,比如授权码失窃、重定向 URI 被篡改。
Oauth2.0详解及安全使用
weixin_30480075的博客
09-04 838
引言:刚刚参加工作的时候接到的第一个任务就是接入新浪的联合登录功能,当时新浪用的还是oauth1.0协议。接入的时候没有对oauth协议有过多的了解,只是按照开放平台的接入流程进行开发,当时还在想这么麻烦就是为了作一个登录功能?(为当年的无知汗颜...)。再后来上家公司需要开发一套自己的基于oauth2.0的联合登录功能,粗粗的看了下oauth2.0协议流程,自以为了解了便开始设计开发,现在来看真...
Spring Security OAuth2详解
qq_33814479的博客
10-12 4600
创建认证成功处理器和认证失败处理器,处理登录成功和登录失败请求@Component@Slf4j@Autowired@Autowired@Override// 1. 从请求头中获取 ClientIdthrow new UnapprovedClientAuthenticationException("请求头中无client信息");// 2. 通过 ClientDetailsService 获取 ClientDetails。
Oauth2.0安全问题浅谈
weixin_30633405的博客
12-06 386
大家如果对Oauth还不是很了解可以先看下这篇文章https://www.cnblogs.com/maoxiaolv/p/5838680.html 我这篇博客主要是总结一下安全测试过程中遇到Oauth2.0有哪些可能存在的漏洞,以及如何去测试。 Oauth2.0协议流程: (A)用户打开客户端以后,客户端要求用户给予授权。(比如说你登陆淘宝,但是不想注册淘宝账户,于是淘宝说你可以用QQ登陆哟...
OAuth2.0 原理
热门推荐
weixin_44763552的博客
03-25 2万+
文章目录一、OAuth2.0是什么?二、三方指的是哪三方?三、OAuth2.0的作用1、解决的问题2、项目应用场景四、OAuth2.0名词定义五、OAuth2.0授权流程1、OAuth的思路2、交互流程OAuth2.0的授权模式1、授权码模式2、简化模式3、密码模式4、客户端模式七、令牌的使用和更新令牌的使用令牌的更新八、OAuth2.0和1.0的区别九、三方登录中OAuth2.0的使用1、三方登录如何做到的呢?2、微信三方登录OAuth2.0获取access_token流程总结参考文献 一、OAut
OAuth 2.0设计规范
一叶知春秋
05-20 1379
OAuth2.0接口设计规范说明 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务器提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们数据的所有内容。
关于oauth2.0安全性你应该要知道的一些事
tinysakura的博客
01-04 3807
转载自Chrisyue’s Blog 前言 当前已是 2017 年,似乎现在还来说 OAuth 2.0 的话题有点过时了,不过很多新人在使用 OAuth 2.0 的时候,也就是照着微信、微博的文档按部就班,不求甚解。而很多细节,微信微博之类的文档自然也是不多说。但如果不了解 OAuth 2.0 的美妙之处,该注意的地方不注意,可是安全风险的哦。 首先 OAuth 2.0 是有 4 种认证流程的...
第一章 OAuth2.0规范(史上最详细解释)——介绍
后来者居上
12-14 968
在传统的客户端-服务器身份验证模式中,客户端请求服务器上访问受限的资源(受保护的资源)时,需要使用资源所有者的凭据在服务器上进行身份验证。资源所有者为了给第三方应用提供受限资源的访问权限,需要与第三方共享它的凭据。第三方应用需要存储资源所有者的凭据以供将来使用。该凭据通常是明文密码。服务器需要支持密码身份认证,尽管密码认证有固有的安全缺陷。第三方应用获得了对资源所有者的受保护资源的过于宽泛的访问权限,从而导致资源所有者不能限制对资源的有限子集的访问时限或权限。
10 | 串讲:OAuth 2.0的工作流程与安全问题
weixin_39924752的博客
03-11 138
安全防护的过程一直都是“魔高一尺道高一丈”,相互攀升的过程。因此,在使用 OAuth 2.0 的过程中,第三方软件和平台方都要有足够的安全意识,来把“安全的墙”筑得更高。比如,你没有遵循授权服务中的授权码只能使用一次、第三方软件的重定向 URL 要精确匹配等建议。第三软件拿到访问令牌之后,就可以使用访问令牌来代表用户去访问用户的数据了。但是,如果直接返回到前端页面上,访问令牌是很容易被通过浏览器截获的,所以显然不可取。第三方软件的后端和授权服务的后端之间通信,这样就可以避免令牌被直接暴露的问题
第四章 OAuth2.0规范(史上最详细解释)——获得授权
后来者居上
12-15 696
为了请求访问令牌,客户端从资源所有者获得授权。授权表现为授权许可的形式,客户端用它请求访问令牌。OAuth定义了四种许可类型:授权码、隐式许可、资源所有者密码凭据和客户端凭据。它还提供了扩展机制定义其他许可类型。
OAuth2标准文档(RFC6749)
12-11
OAuth2标准文档(RFC6749),访问不了文档源地址的可以从这里下载
oidc-debugger:OAuth 2.0和OpenID Connect调试工具
05-11
阅读博客文章: 要使OAuth或OpenID Connect流正常工作可能很棘手。 您需要一堆正确的参数,而且捕获或解析错误并不总是那么容易。 我写了这个小的网络工具来简化过程。如何使用调试器您需要做的只是暂时将OAuth...
kong-oauth2-hello-world:这是一个简单的node.js + express.js应用程序,在Kong上显示了OAuth 2.0插件的授权页面
05-09
适用于Kong的OAuth 2.0 Hello World 这是一个简单的node.js + express.js + jade应用程序,演示了使在上运行所需的OAuth 2.0授权页面的简单实现。 档案文件 该项目由两个主要文件组成: app.js ,它处理服务器并...
解决微信授权回调页面域名只能设置一个的问题
12-19
在做项目集成微信登录以及微信支付的时候,都需要进行用户授权。这个授权的流程可以简单描述为: 1. 用户从我们的应用触发需要授权的操作,比如点击微信登录; 2. 应用收到这种用户请求后,将用户重定向到微信提供...
auth0.net:Auth0身份验证和管理API的.NET客户端
04-29
这适用于被标记为OIDC合格(在客户端“高级设置”中OAuth选项卡下)的客户端,或者如果您在启动授权流程时通过使用audience参数触发符合OIDC合格的管道。 管理API 完整文件 请参阅的。 安装 Install-Package Auth0....
Use-Google-Maps-API-to-Visualize-BigQuery-Geospatial-Data-Add-to-favorites-Help:在此项目中,我们将创建一个网页,用户可以在该网页上使用热图通过地图上的指定区域查看所有记录数据,还可以使用BigQueryAPI触发查询并以某些形状查看数据
05-09
使用Google Maps API可视化BigQuery地理空间数据添加到收藏夹帮助在此项目中,我们将创建一个网页,用户可以在该网页上使用热图通过地图上的指定区域查看... 同样,在此我使用OAUTH 2.0授权用户查看BigQuery数据集。
网站被SmartScreen标记为不安全怎么办?
Racent_Y的博客
04-22 586
在互联网时代,网站的安全性和可信度是用户选择是否继续访问的重要因素之一,然而,网站运营者偶尔发现使用Edge浏览器访问网站时,出现Microsoft Defender SmartScreen(以下简称SmartScreen)提示网站不安全的情况。旨在通过以上措施,尽可能的减少网站被SmartScreen标记为不安全可能,让网站可以正常显示,从而使用户重新建立起对网站的信任,提高用户访问量和浏览量。这里的服务器证书指的就是可以实现网站HTTPS的SSL证书,且要使用在有效期内的。
网站内容下载软件有哪些 网站内容下载软件推荐 网站内容下载软件安全吗 idm是啥软件 idm网络下载免费
最新发布
软妹子的博客
04-25 931
它可以帮你解锁大半个互联网的下载工作(剩下那小半个,法律不允许解锁),突破速度限制、避开资源审查、绕过员门槛,带给你前所未有的下载体验。在手机上打开一段想要下载的短视频,点击“分享”按钮,选择“复制链接”(注意这里不要点击“下载”按钮,不然下载的视频是带有抖音官方水印的)。将刚才复制的链接用浏览器打开,在视频加载完成后,idm的下载按钮就自动弹出,点击“下载该视频”。这时候,选择下载分类为“音乐”,点击“开始下载”。在新弹出的下载信息窗口中,选择短视频下载的分类和保存路径,点击“开始下载”。
oauth2.0协议中文文档
10-18
OAuth 2.0协议是用于授权的开放标准,旨在使用户能够授权第三方应用程序访问其资源,而无需将其...阅读该文档将帮助开发人员了解OAuth 2.0的工作原理以及如何正确实现该协议,从而确保用户的资源得到安全和可信的访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值