Oauth2.0 安全性问题,code,CSRF与PKCE

已于 2022-03-31 18:49:46 修改
阅读量5.4k 收藏 3
点赞数 1
文章标签: 安全
于 2022-03-07 18:42:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kidkid1208/article/details/123335719
版权

在这里插入图片描述

为什么需要code

这是一个安全性问题,发起认证请求的是浏览器端或者app,第三方认证重定向也只能重定向到浏览器web端,如果这时直接返回token而非code,那么攻击者通过返回的token就可以使用token来获取用户相关信息(比如Facebook昵称等),而Facebook无法感知是谁发起的请求,所以是不安全的。而返回一次性的code,攻击者就无法发起攻击,并且Facebook可以校验客户端的信息,所以更安全。

CSRF攻击

上图是OAuth2.0授权码授权流程,可以看到,流程中用户整体发起了两次请求到认证服务器后端,且这两次请求是分离的,因此给攻击者发起CSRF攻击制造了条件。即攻击者通过前三步生成攻击者的含授权码的RedirectURL,引导在webapp上已登陆的用户点击恶意网站上的恶意链接(攻击者的含授权码的RedirectURL),这样就会继续步骤6后续流程,造成webapp登陆的用户账号绑定攻击者的第三方账号。

可以看到,CSRF攻击应用在授权码认证流程的条件是用户必须已经登录了第三方网站。即通过将攻击者微博账号与第三方应用账号绑定,获得用户第三方账号相关内容,以实现攻击。

OAuth2.0也提供了相应的解决方案,就是步骤2增加state随机字段,并在步骤5校验,即可验证用户有效性。

具体流程如下:

1、用户甲到第三方网站A登录后,到了绑定页面。此时还没绑定微博。绑定页面提供一个按钮:“绑定微博”(地址a: http://aaa.com/index.php?m=user_3rd_bind_sina )

2、用户点击地址a,程序生成如下地址b(为方便大家查看,参数部分均未urlencode以【】包含显示): https://api.weibo.com/oauth2/authorize?client_id=【9999999】&redirect_uri=【http://aaa.comindex.php?m=user_3rd_bind_sina_callback】&response_type=【code】&state = xyz123456

3、用户甲浏览器定向到地址b,授权该应用。

4、授权服务器根据传递的redirect_uri参数,组合认证参数code生成地址c: http://aaa.comindex.php?m=user_3rd_bind_sina_callback&code=【809ui0asduve】&state = xyz123456

5.第三方网站服务器本地校验state参数是否符合,并进行后续流程。这样,第三方网站服务器就有了验证两次发送到微博授权平台是否属于同一流程的能力。

PKCE增强

PKCE,全称 Proof Key for Code Exchange。这其实是通过一种密码学手段确保恶意第三方即使截获Authorization Code 或者其他密钥,也无法向认证服务器交换Access Token。

那么上述流程为何回呗第三方截获呢?这与客户端的安全性有关,与有服务端的客户端不同,原生客户端(即没有服务端的纯桌面应用程序、安卓、IOS、浏览器插件程序等)在授权码模式下,客户端clientID clientSecret的安全性是无法得到保证的,因此有可能被攻击者利用。

基于上述原因,OAuth提供了PKCE增强的授权码模式,主要区别在于,请求/authorize接口之前生成了code_verifier,code_challenge,并携带code_challenge。在请求/token是携带code_verifier在服务提供方来校验身份。

在这里插入图片描述

kidkid1208
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
你的微服务在用 OAuth2 却不知道 CSRFPKCE
q1472750149的博客
12-04 1572
前言 在微服务实战:基于Spring Cloud Gateway + AWS Cognito 的BFF案例一文中, 介绍了基于Amazon Cognito的OAuth授权码模式的认证流程。本文中,我们将研究可能针对此流程的恶意攻击以及如何防止它们。你将了解如何使用状态随机数(state nonce)来防止可能的 CSRF 攻击,以及 OAuth 推荐的用于防止重定向拦截攻击的 PKCE(Proof Key for Code Exchange)机制。最后将附上基于Spring Security的代码实现。
OAuth2.o的授权码模式为什么要用code获取token?
Authing的博客
11-17 1654
OAuth2.0 zhua难题持续更新。
PKCE 流程中,code_verifier 和 code_challenge 的生成
weixin_44951259的博客
08-31 622
Oauth2 的 PKCE 流程中, code_verifier 和 code_challenge 的生成规则
授权协议OAuth 2.0之移动应用如何使用OAuth2.0
wang0907的博客
04-19 331
本文看下移动APP应用如何使用OAuth2.0。从有没有server端的角度,我们可以将移动应用APP分为两类,没有server端的app和有server端的app:分别来看下。
oauth2.0授权码模式详解
weixin_44846436的博客
03-07 4798
oauth2.0授权码模式 欢迎关注博主公众号「Java大师」, 专注于分享Java领域干货文章http://www.javaman.cn/sb2/oauth-code 授权码(authorization code)方式,指的是第三方应用先申请一个授权码,然后再用该码获取令牌。 这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。 1、授权码模式流程 第一步,A
HttpClient获取oAuth2.0中的code
weixin_44830737的博客
09-20 3956
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录获取Oauth2授权码code一、准备账号密码appId等参数二、将请求参数(client_id,response_type,redirect_uri)拼接在url后面三、这里我将账号密码用Map进行封装四、调用post请求五、post请求方法六、结果 获取Oauth2授权码code 获取授权码code 需要通过浏览器重定向,把url复制到浏览器打开,然后输入账号密码,才会返回code。 也可以通过httpclient post去
HttpClient获取OAuth2.0中的code
09-20
通过httpclient post去获取,response返回码是302,返回的code放在header的Location中。 请求的时候client_id,response_type,redirect_uri,state拼接在url后面,account和password放在body表单(x-...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 是一个基于 Spring Security 框架的授权和身份验证机制,提供了强大的安全功能和灵活的配置选项。Oauth2.0 是一种 industry-standard 授权协议,提供了多种授权方式,例如授权码流程、...
OAuth2.0协议中文版.pdf
03-27
OAuth2.0是OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用...
Java的oauth2.0 服务端与客户端的实现 (完整源码、demo)
09-14
Java的oauth2.0 服务端与客户端的实现.zip 封装了oauth2.0的基本架构和实现,对照我的博客http://blog.csdn.net/jing12062011/article/details/78147306使用该源码。 下载项目压缩包,解压,里面两个maven项目:...
OAuth2.0协议原理与实现
03-08
OAuth2.0协议原理与实现
OAuth 2.0 授权认证详解
顺其自然~专栏
06-26 8452
OAuth 2.0 (Open Authorization)标准目前被广泛应用在第三方登录场景中,以下是虚拟出来的角色,阐述 OAuth2 能帮我们干什么,引用阮一峰这篇中的例子:有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样获得用户的授权呢?
移动和桌面端OAuth2.0安全分析和CodeVerifier机制
weixin_34415923的博客
07-23 1403
桌面端和移动端是在App中内嵌浏览器辅助完成OAuth2.0整个流程流程如图所示 OAuth2.0 Web端1)返回authCode到指定Web redirectUri(此uri是应用开发者来配置)2)换token需要传clientId和clientSecret验证client身份 (应用后端服务获取) 注意到以上两点,1) 因为不是Web应用 re...
微信OAuth2.0 登录流程以及安全性分析
热门推荐
正在努力工作的搬砖人
04-09 1万+
本文详细阐述的微信OAuth2授权流程详细说明,以及OAuth2.0是如何保证鉴权安全
9 客户端认证方式 之 PKCE
Markix的博客
09-30 2533
PKCE 是授权码流程的扩展,用于防止 CSRF 和授权码(code)注入攻击。 所以 PKCE 一般都伴随着授权码模式使用,可称之为 增强版授权码流程,又称 Authorization Code with PKCE Flow。用于公共客户端的认证...
Day979.OAuth2.0可能存在的安全问题 -OAuth 2.0
阿昌爱Java
08-26 539
OAuth 2.0 相关的常见又比较隐蔽的 5 种安全问题,包括 CSRF 攻击、XSS 攻击、水平越权、授权码失窃、重定向 URI 被篡改。互联网场景的安全攻击类型比如 CSRF、XSS 等,在 OAuth 2.0 中一样要做防范,因为 OAuth 2.0 本身就是应用在互联网场景中。除了常见的互联网安全攻击,OAuth 2.0 也有自身的安全风险问题,比如授权码失窃、重定向 URI 被篡改。
OAuth 2.0 (第三方登录)前端流程实现
qq_45799465的博客
11-01 5638
OAuth 实现,前端所需要做的事情。
Oauth2.0安全运行是否必须使用Https协议?官方总结的安全问题有哪些?(附英文文档分析)
goldenlavabao的博客
04-17 3318
Oauth2.0的user-agent不使用Https也很安全的错觉?
OAuth2.0 里面的 state 参数是干什么的?
过河的小卒子的博客
12-24 5280
OAuth2.0 里面的 state 参数是干什么的? 是为了防止CSRF 攻击
oauth2.0pkce
最新发布
04-21
OAuth 2.0是一种用于授权的开放标准,它允许用户授权第三方应用访问他们在另一个应用中存储的受保护资源,而无需将用户名和密码提供给第三方应用。OAuth 2.0 PKCE(Proof Key for Code Exchange)是OAuth 2.0的一个扩展,用于增强授权流程的安全性PKCE的主要目的是防止授权码(code)被截获并被恶意使用。在传统的OAuth 2.0授权流程中,客户端直接将授权码发送给授权服务器以获取访问令牌(access token)。但这种方式存在安全风险,因为授权码可能会被截获并被恶意使用。 PKCE通过在授权请求中引入一个随机生成的密钥(code verifier),并在获取访问令牌时验证该密钥(code challenge),来解决这个安全问题。具体流程如下: 1. 客户端生成一个随机的code verifier,并计算其哈希值(code challenge)。 2. 客户端向授权服务器发送授权请求,包括code challenge和其他必要参数。 3. 授权服务器返回一个授权码(code)给客户端。 4. 客户端使用codecode verifier向授权服务器请求访问令牌。 5. 授权服务器验证codecode verifier的匹配性,并返回访问令牌给客户端。 通过使用PKCE,即使授权码被截获,攻击者也无法使用它来获取访问令牌,因为攻击者没有对应的code verifier。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值