OAuth 1.0 简介

最新推荐文章于 2024-02-02 10:54:33 发布
最新推荐文章于 2024-02-02 10:54:33 发布
阅读量4.9k 收藏 6
点赞数 3
分类专栏: internet

By Charles | 1757 views | 2014/05/14

OAuth1.0Core

现在已经是OAuth2.0的时代了,整个中国互联网圈子,基本都在使用OAuth2.0了,但是我们可以看到,Twitter,这个曾经引领 了互联网开放平台的先驱,依然固执得坚持着使用OAuth1.0,而且现如今都在使用OAuth2.0的这些中国互联网平台们,也都经历过 OAuth1.0的历史阶段。了解历史才能展望未来,就让我们来看一下什么是OAuth1.0吧~

本文的题图,是OAuth1.0的完整流程图。因为是展望历史,我就不打算详细地展开了。只是简要介绍一下所有的要件,想要了解详情的同学,可以参考协议规范文档。

角色

OAuth1.0协议中,一共定义了三种关键角色:

  • Service Provider:(服务提供商)允许通过OAuth访问的网络服务、平台、应用等,比如腾讯一般都是扮演这种角色的;
  • User:(用户)在Service Provider那里拥有帐号的人,称为用户,比如QQ用户一般都扮演这个角色;
  • Consumer:(接入者)通过OAuth访问User在Service Provider处存储的受保护的隐私数据的网络服务、应用等;

协议要件

OAuth1.0协议中,一共出现了下面这六大协议要件,当然,这是我自己归纳的,未必准确,您姑且一看好了:

  1. Consumer Key:接入者在服务提供商处的唯一标识符,一个字符串;
  2. Consumer Secret:与Consumer Key关联的密码;
  3. Request Token:接入者用于取得用户授权的一个载体,由Service Provider颁发,然后请求用户的授权;
  4. Access Token:接入者访问存储于Service Provider的隐私信息的凭证,可以用经过用户授权的Request Token交换;
  5. Token Secret:与Token关联的一个密码,Request Token和Access Token都有各自与之关联的密码;
  6. Signature:所有授权流程中的关键步骤,都要求签名,签名使用双方约定的算法,可以被验证,这是安全性的来源,因为OAuth1.0是不依赖TLS/SSL的;

请求的网址

OAuth 1.0中,Service Provider至少提供三个URL,供接入者来完成授权流程:

  • Request Token URL:发起授权流程,请求颁发Request Token的URL;
  • User Authorization URL:请求用户授权,引导用户登录Service Provider并授权的URL;
  • Access Token URL:使用用户授权后的Request Token交换Access Token的URL;

授权流程

用户登录接入者的服务,并发起OAuth授权流程:

  1. 接入者向服务提供商申请Request Token;
  2. 接入者引导用户到服务提供商处授权请求;
  3. 用户授权;
  4. 服务提供商将用户重定向回接入者的网站,并带回授权过的Request Token;
  5. 接入者使用Request Token向服务提供商交换Access Token;
  6. 接入者通过Access Token访问用户在服务提供商处存储的受保护的资源;

 步骤1:请求Request Token

请求参数:

  • oauth_consumer_key 接入者标识符
  • oauth_signature_method 签名方法
  • oauth_signature 签名值
  • oauth_timestamp 时间戳,控制时效和顺序
  • oauth_nonce 随机值,唯一值,防止重放攻击
  • oauth_version 必须填1.0
  • 其他参数 服务提供商要求的别的一些参数,协议没有规定

请求回包:(HTTP Body)

  • oauth_token 未经授权的Request Token
  • oauth_token_secret 与Request Token相匹配的密码
  • 其他参数 其他一些协议没有规定的参数

 步骤2:请求用户授权

接入者将用户重定向到服务提供商的User Authorization URL上,带上如下参数:

  • oauth_token
  • oauth_callback:
  • 其他参数

 步骤3:用户授权

  1. 服务提供商应该检查用户的身份,比如要求用户提供用户名和密码;
  2. 服务提供商应该说明接下来要发生的事情,比如到底授权什么隐私数据,给具体哪一位接入者;
  3. 用户必须主动授权,可以只授权一部分数据,服务提供商有义务保护好没有授权的部分不让接入者访问到;

 步骤4:带回授权过后的Request Token

服务提供商通过浏览器的重定向,将用户重定向到步骤2中提供的callback url上。在GET参数中增加oauth_token参数,该参数能显示用户是否授权。

 步骤5:获取Access Token

请求参数:

  • oauth_consumer_key
  • oauth_token 经过授权的Request Token
  • oauth_signature_method
  • oauth_signature
  • oauth_timestamp
  • oauth_nonce
  • oauth_version

请求回包:

  • oauth_token 可以用于访问用户数据的Access Token
  • oauth_token_secret 与Access Token匹配的密码
  • 其他

 步骤6:访问受保护资源

经历了上述五个步骤后,就可以开始调用各种Service Provider提供的API了,调用的时候,除了业务参数外,还要提供如下的参数。

请求参数:

  • oauth_consumer_key
  • oauth_token 步骤5中取回来的Access Token
  • oauth_signature_method
  • oauth_signature
  • oauth_timestamp
  • oauth_nonce
  • oauth_version
  • 其他参数

OAuth 1.0的安全问题

以上介绍的是OAuth 1.0第一个广泛使用的版本,但是这个版本在2009年被爆了漏洞。标准的OAuth授权流程:

oauth-flow-normal

攻击者首先登录到接入者的网站中,然后发起OAuth授权流程,这时候,接入者的网站就会去服务提供商处请求Request Token,这个Request Token是未经授权的。到这个环节,这里面并没有任何作假的成分。

然后,这时候接入者应该将攻击者重定向到服务提供商的网站进行授权了,但是这个步骤被攻击者截断了。这时候,攻击者将这个URL(并不难获 得),用某种方法,诱使受害者点击(这也很简单,比如,对受害者说,邀请你体验一下将自己在某服务商处的照片或者别的什么,拿到这里来完成什么什么功 能),这时候,受害者就会点击链接。

受害者,会去到服务提供商的网站上,然后要求他登录,这是没问题的,也会看到说,会授权接入者网站的权限,这也是真的。受害者唯一不知道的是, 一旦授权,攻击者将会借由接入者网站获得Access Token来访问他自己的信息。于是,攻击者利用接入者网站提供的功能,完全访问了受害者授权的在服务提供商处存储的隐私资源。

首先大家要注意的是,在整个过程中,受害者的密码是没有泄漏的,Access Token也没有泄漏,callback也没有被篡改,唯一出问题的就是,攻击者透过接入者网站,访问了受害者的隐私资源。

攻击者攻击时候的流程:

oauth-flow-exploit

产生这种结果的原因,在于上述提到的几个步骤中,步骤1、2和5三个步骤,是割裂的,没有一个方法帮助接入者或者服务提供商来识别说,这三个步 骤,是同一 个用户触发的,从而给了攻击者可乘之机。这里面还有一个问题,就是步骤2中,协议没有要求签名,所以,在这个步骤中,callback是有可能被篡改的 (在OAuth 2.0中,全面摒弃了签名,导致每个参数都是可以被篡改的,可以增加参数或者减少参数,从而多了更多的可乘之机)。

在上面的图中,值得指出一点,攻击者篡改了Authorization步骤中的callback,导致受害者被重定向到了不知道什么地方去了, 然而,就算这里增加了对callback的校验,攻击者仍然可以实施攻击,只不过,攻击变成了赛跑,其结果完全取决于对于真实callback的访问,谁 的速度比较快,因为重定向是浏览器执行的,所以速度很难超过攻击者,攻击者在这里的问题,就是不知道受害者到底何时完成授权动作,不过这个只要多试几次就 行了,总是可以押对一次的。

OAuth 1.0a的改进

经过这次安全漏洞事件,OAuth协议发布了修正的版本,包括很多小的错误更正,就是后来的广为使用的OAuth 1.0 Core Revision A,一般称为OAuth 1.0a,也是Twitter至今仍在使用的版本。

这个版本主要做了一些修改:

 1. 请求Request Token的时候,需要传递oauth_callback参数;

请求参数:

  • oauth_consumer_key 接入者标识符
  • oauth_signature_method 签名方法
  • oauth_signature 签名值
  • oauth_timestamp 时间戳,控制时效和顺序
  • oauth_nonce 随机值,唯一值,防止重放攻击
  • oauth_version 必须填1.0
  • oauth_callback 必须是一个完整的URL,用于授权完毕后的跳转,如果没有的话,值必须填写为oob(大小写敏感)
  • 其他参数 服务提供商要求的别的一些参数,协议没有规定

请求回包:(HTTP Body)

  • oauth_token 未经授权的Request Token
  • oauth_token_secret 与Request Token相匹配的密码
  • oauth_callback_confirmed 服务提供商必须提供这个参数,并且返回True表示已经收到并确认了oauth_callback参数
  • 其他参数 其他一些协议没有规定的参数

 2. 用户授权完毕的时候,除了带回授权过的Request Token,还增加了验证码

这个步骤原来只有重复了一下oauth_token带回了授权过后的Request Token,现在又加了一个参数oauth_verifier

 3. 使用Request Token交换Access Token的时候,要求验证oauth_verifier

总结

经过修改后的OAuth 1.0a,主要是在未经签名的授权流程中去除了callback,而是加到了申请Request Token的过程中,这样攻击者一来没法预测callback的值,二来,没法篡改,因为需要签名,第二个变革是在授权的Request Token返回的时候,增加了一个oauth_verifier参数,并且在交换Access Token的时候,进行验证,确保了授权的用户和交换Access Token的用户是同一个人。(注意,因为callback是不可以预测,而且不可以篡改的,所以,攻击者无法从callback上获取到 oauth_verifier,而这个oauh_verifier又是不可以预测的,所以,交换Access Token的时候,向上文叙述的攻击方法,就无法实现了)

经过修补的OAuth 1.0协议,已经成为一个比较完善而且安全的协议了。

参考文献:

追寻北极
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAUTH 1.0
04-26
NULL 博文链接:https://gavin2lee.iteye.com/blog/2356568
OAuth1.0协议
浮白
06-03 4814
OAuth1.0协议 概要 OAuth提供了一种client代表资源的拥有者访问server的方法,也就是在资源拥有者不向第三方提供证书(通常是指用户名和密码)的情况下,允许第三方使用用户代理重定向访问服务器上的资源。   1        介绍 OAuth协议最初是设计用于解决一个最普遍的问题,如何代理访问受保护的资源,,于是在2007年10月建立OAuth1.0的一些标准。在2009
OAuth1.0介绍
烟草的香味的博客
02-19 3551
背景 为什么需要OAuth授权呢? 最典型的应用场景就是第三方登录了, 我们开发了一个网站希望用户可以QQ登录, 但是怎么能拿到用户的 QQ 信息呢? 用户将 账号密码告诉我们当然可以, 但是这样有如下隐患: 我们拿到了用户的密码, 这样很不安全. 而且任意一个应用被黑, 所有相关站点均受影响 QQ 需要支持密码登录, 但是单纯密码登录并不安全. 因此进而影响 QQ 的安全问题 我们拿到密码之后, 就相当于拥有了用户的所有信息, 这样无法进行权限限制 可能只是希望授权用户名和头像, 但是连着好友列表一起
OAuth协议1.0版本中文版
01-10
OAuth协议1.0版本中文版,描述了什么是OAuthOAuth协议的具体内容等等
jmeter 实现oauth1.0授权认证
08-18
在本文中,我们将深入探讨如何使用Apache JMeter进行OAuth 1.0授权认证。OAuth 1.0是一种授权协议,允许第三方应用安全地访问用户在另一服务上的资源,而无需获得用户的用户名和密码。JMeter是一款强大的性能测试...
node-oauth-lite:适用于Node.js的OAuth 1.0a客户端库
05-12
介绍node-oauth-lite是用于Node.js的轻量级OAuth 1.0a客户端库。 它设计用于任何HTTP客户端库,并支持Google的[XOAUTH机制]( ),用于SMTP和IMAP身份验证。用法示例获取请求令牌 oauth = require ( " oauth-lite " ...
oauth1.0a:服务平台的oauth-1.0a实现
05-25
服务开放API的OAuth-1.0a实现 安装 ### Node.js $ npm install serve-oauth --save ###浏览器即将推出... 用法 ###使用https(Node.js) 依赖 var oauth = require ( 'serve-oauth' ) ; var https = require ( '...
simple-oauth1:使用OAuth 1.0a服务提供商进行身份验证的简单插入类
04-27
简单的oauth1使用OAuth 1.0a服务提供商进行身份验证的简单代码为具有块和ARC的iOS 6构建。 AFNetworking( )提供了一些很棒的方法来处理url参数,该方法已在项目中使用。 还使用了OAuthConsumer( )的一种不错的...
开放平台_OAuth1.0
weixin_34124651的博客
08-30 98
OAuth1.0简介   oauth1.0是RFC制定的标准的第三方网站/客户端的认证服务 规范文档在: http://www.ietf.org/rfc/rfc5849.txt   网站使用oauth的目的是不让第三方开发者知道和记录用户的用户名和账号信息,用户在第三方应用登录服务的时候是在客户端提供的登录页面进行登录和验证的。   国内几家大型网站都已经实现了oauth1.0,比...
OAuthLib:一个 OAuth 请求-签名逻辑通用、 完整的实现-python
06-18
OAuthLib:一个 OAuth 请求-签名逻辑通用、 完整的实现 OAuthLib 一个通用的、符合规范的、全面的 Python OAuth 请求签名逻辑的实现通常看起来很复杂且难以实现。 有几个用于处理 OAuth 请求的著名库,但它们都受到以下一种或两种情况的影响:它们早于 OAuth 1.0 规范,AKA RFC 5849。它们早于 OAuth 2.0 规范,AKA RFC 6749。它们假设使用特定的 HTTP 请求库。 OAuthLib 是一个通用实用程序,它在不假设特定的 HTTP 请求对象或 Web 框架的情况下实现 OAuth 的逻辑。 使用它来将 OAuth 客户端支持移植到您最喜欢的 HTTP 库上,或者为您最喜欢的 Web 框架提供支持。 如果您是这样一个库的维护者,请在 OAuthLib 之上编写一个薄的贴面,并以很少的努力获得 OAuth 支持。 文档 完整文档可在阅读文档中找到。 非常欢迎所有贡献! 文档仍然相当稀少,请提出您想知道的问题,或在我们的 G+ 社区中讨论,或者更好的是,发送拉取请求! 有兴趣提出 OAuth 请求吗? 那么
OAuth1.0协议的理解
wangyuquanliuli的专栏
05-01 3846
OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。协议地址为:http://oauth.net/core/1.0/#rfc.section.A.5 研究的是OAuth1.0,因为2.0褒贬不一,连创始人都宣布脱离关系了。。。而1.0基本各个大网站都支持的不错 具体举个例子: 比如
oauth01 基本流程
qq_45800365的博客
10-27 654
oauth01
OAuth1.0OAuth2.0的演进解析--一起学习技术干货之Oauth协议
最新发布
wd90119的博客
02-02 1151
总的来说,Oauth2.0在安全性、简单性和互操作性方面具有优势,但OAuth1.0已经不再被维护和更新,因此选择OAuth1.0可能不是最佳选择。总的来说,OAuth2.0在安全性、简单性和互操作性方面具有优势,但OAuth1.0已经不再被维护和更新,因此选择OAuth1.0可能不是最佳选择。如果企业需要开发跨平台的应用程序,那么OAuth2.0可能更加适合。Oauth1.0存在一些安全漏洞,如果企业非常注重安全性,那么OAuth2.0可能是一个更好的选择,因为它通过引入新的安全特性提高了安全性。
Android学习笔记——OAuth完全手册_国内篇
weixin_30607659的博客
07-11 216
本文主要是介绍OAuth认证以及各大平台粗略比较,如有纰漏,望请谅解。 转载请注明:http://www.cnblogs.com/lingyun1120/archive/2012/07/11/2585767.html   Preface: 开发目的及进展   利用工作上关于SNS网站的研究,将多个SNS平台集成起来,一键分享。利用闲暇时间做了一个demo,还有很多需...
WP REST API:设置和使用OAuth 1.0a身份验证
代码教主
06-10 1234
在本系列的前一部分中,我们通过安装WP REST API团队在GitHub上可用的插件,在服务器上设置了基本的HTTP身份验证。 基本的身份验证方法允许我们通过在请求标头中发送登录凭据来发送经过身份验证的请求。 虽然方便快捷,但这些凭据也有可能落入错误的人手中。 因此,此方法仅应在安全网络上用于开发和测试目的。 为了在生产服务器上使用身份验证,需要一种更安全的方式发送经过身份验证的请求,而...
java oauth1.0_如何在Java或C中为oauth 1.0生成oauth签名值?
weixin_42498055的博客
03-06 1015
致所有人:这是我第一次使用OAuth,我需要使用Flickr API。在给出的示例中,它们显示一个“基字符串”,后跟一个28到32个字符的签名。在本页靠近页面顶部的“签名请求”下:https://www.flickr.com/services/api/auth.oauth.html例如,当粘贴到浏览器的地址框中时,它们在“获取请求令牌”下列出的URL会生成正确的响应代码。这:https://www...
OAuth1.0 简介及安全分析
iteye_6700的博客
09-28 359
1.   概述 OAuth 是一个开放授权协议,允许第三方应用访问服务提供方中注册的终端用户的某些资源,且不会把帐号和密码提供给第三方。 OAuth 允许通过服务提供商授予的一个临时令牌而不是用户名密码来获取用户的资源,这些资源可以是受限的,令牌的时间段也可以是受限的。 1.1     OAuth 的参与者 1.       终端用户 存放在服务提供方的受...
关于OAuth以及OAuth1.0OAuth2.0的区别
热门推荐
u013436121的专栏
04-14 1万+
一、       Oauth的概念 Oauth的官方简介是: An open protocol to allow secure API authorization in a simple andstandard method from web, mobile and desktop applications. 随着大量开放平台的出现,建立在开放平台之上的各种第三方应用也在大量冒出,出对安全性
oauth1.0oauth2.0的区别
07-24
OAuth 1.0OAuth 2.0是OAuth协议的两个不同版本,它们有以下几点区别: 1. 认证流程:OAuth 1.0使用了三个步骤的认证流程,包括请求令牌和访问令牌;OAuth 2.0简化了认证流程,只使用了一个访问令牌。 2. 安全性...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值