理解 Authorization Code Flow with Proof Key for Code Exchange (PKCE)

最新推荐文章于 2022-09-30 16:31:32 发布
最新推荐文章于 2022-09-30 16:31:32 发布
阅读量1.6k 收藏 5
点赞数
分类专栏: Programming 文章标签: oauth
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/levin_li/article/details/107500329
版权
本文详细介绍了Authorization Code Flow的工作原理,特别是针对public app,如SPA和Native App。PKCE(Proof Key for Code Exchange)是为了增强Authorization Code Flow的安全性,解决在浏览器环境中无法安全存储Client Secret的问题。通过引入Code Verifier和Code Challenge,确保只有合法的应用能够交换Access Token。
摘要由CSDN通过智能技术生成

理解 Authorization Code Flow with Proof Key for Code Exchange (PKCE)

这里首先解释一下 regular web app 和 public app 的意思。

  • regular web app:传统的 web app,只有一个 server-side,用户使用浏览器与 server-side 交互,用户所看到的界面和所能操作的功能,均由 server-side 生成;
  • public app:现代的 web app,它由两部分组成,client-side 和 server-side。典型的 public app 是 SPA 和 Native App。在 SPA (singular-page-application) 中 client-side 的代码是由 JavaScript 写成,运行在用户的浏览器中,用户所能看到的界面和交互功能均由 client-side JavaScript 提供,server-side 则主要作为提供资源服务。

Authorization Code Flow

为了更好的理解 PKCE 首先需要理解 Authorization Code Flow。

regular web apps 是 server-side app,也就是说源代码是不会暴露给外界(这里主要是跟 SPA 这种应用的对比),这种 server-side app 非常适用于 Authorization Code Flow,也就是用 Authorization Code 交换 Access Token,交换过程必须发生在 s

最低0.47元/天 解锁文章
levin_li
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
OAuth PKCE --- Proof Key for Code Exchange by OAuth Public Client
levin blog
10-12 553
OAuth PKCE --- Proof Key for Code Exchange by OAuth Public Client介绍流程授权码请求授权码交换 介绍 在 OAuth 2.0 规范中 授权码 许可类型对于 Public Client (比如: SPA 或 Native APP) 这种客户端应用程序时, 安全性得不到有效的保证, 攻击者可能会拦截到认证服务器返回的授权码, 从而导致安全信息泄露. +~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~+ | End
你的微服务在用 OAuth2 却不知道 CSRF 和 PKCE
Innocence_0的博客
12-30 1046
在微服务实战:基于Spring Cloud Gateway + AWS Cognito 的BFF案例一文中, 介绍了基于Amazon Cognito的OAuth授权码模式的认证流程。本文中,我们将研究可能针对此流程的恶意攻击以及如何防止它们。你将了解如何使用状态随机数(state nonce)来防止可能的CSRF攻击,以及 OAuth 推荐的用于防止重定向拦截攻击的PKCEProof Key for Code Exchange)机制。最后将附上基于Spring Security的代码实现。
关于OAuth2.0 Authorization Code+PKCE flow在原生客户端(Native App)下集成的思考
dotNET跨平台
03-30 1990
Working with Proof Key for Code Exchange (PKCE) - DEV Community写在前面前几天看了园友的一篇文章被广泛使用的OAuth2.0的密码模式已经废了,放弃吧 被再次提起:Implicit Flow Password Grant,均已被标记为Legacy,且OAuth2.1里面已经删除了,目前OAuth2.1只剩三种...
Proof Key for Code Exchange by OAuth Public Clients
来啊 快活啊
01-31 758
Proof Key for Code Exchange by OAuth Public Clients
IdentityServer4系列(03)【使用Authorization Code Flow
极客神殿
03-28 551
Authorizaton Code Flow,比如用在MVC应用程序,其实MVC也有自己的验证授权,通过Authorizaton Code Flow把验证授权交给IdentityServer4。既然OpenId Connect是在OAuth基础上的封装,这就有大致如下的相关性。 OAuth2.0 OpenId Connect Authorization Code Grant Authorization Code Flow Implicit Grant Implicit Flow .
[转]OAuth 2.0 筆記 (4.1) Authorization Code Grant Flow 細節
CurrentJ
08-19 372
OAuth 2.0 筆記 (4.1) Authorization Code Grant Flow 細節 Sep 30, 2013 在 Authorization Grant Code Flow 裡,Client 不直接向 Resource Owner 要求許可,而是把 Resource Owner 導去 Authorization Server 要求許可, Authorization Ser...
Authorization Code Generator-crx插件
04-03
语言:English (United States) Authorization Code GeneratorAuthorization Code GeneratorDouble click the code to copy可以添加删除多个秘钥配置信息会在不同设备的相同账号间同步双击code自动复制
Access control and authorization for CG data with multiple detail levels
06-29
Access control and authorization for CG data with multiple detail levels Access Control and Authorization for CG Data with Multiple Detail Levels Keishi Tajima Department of Computer and Systems ...
【Python】发送邮件提示“535 Login Fail. Please enter your authorization code
12-22
Please enter your authorization code ”。QQ邮箱的SMTP服务已开启。 代码如下: #!/usr/bin/python # -*- coding: UTF-8 -*- import smtplib from email.mime.text import MIMEText from email.header import ...
Django 2 by Example_Code 源码
06-07
8. **用户认证与授权(Authentication & Authorization)**:理解Django内置的用户认证系统,包括注册、登录、权限控制和用户会话管理。 9. **中间件(Middleware)**:了解中间件的工作原理,以及如何编写自定义...
IOS应用源码之cmkilger-CodeFlow-069b4e8.zip
06-22
《iOS应用源码解析——cmkilger-CodeFlow-069b4e8》 在iOS开发领域,源码分析是提升技能、理解和学习新框架及编程技巧的重要途径。"cmkilger-CodeFlow-069b4e8.zip"是一个包含iOS应用源码的压缩包,它为我们提供了...
Spring Security OAuth2 带有用于代码交换的证明密钥 (PKCE) 的授权码流
new_ord的博客
07-17 1822
保护OAuth2公共客户端中的授权代码流,使用了一个名为代码交换证明密钥 (PKCE) 的扩展。
9 客户端认证方式 之 PKCE
Markix的博客
09-30 2585
PKCE 是授权码流程的扩展,用于防止 CSRF 和授权码(code)注入攻击。 所以 PKCE 一般都伴随着授权码模式使用,可称之为 增强版授权码流程,又称 Authorization Code with PKCE Flow。用于公共客户端的认证...
使用pkce的单页应用程序的现代oauth
weixin_26717681的博客
08-29 718
The OAuth specification was first published in 2007. Today’s web development landscape, dominated by Single Page Applications (SPAs) built on frameworks such as React and Angular, would have been comp...
OAuth2.0系列六:OAuth2.0四种授权模式总结
青藤光年的博客
09-12 1615
授权模式总结 前面几节已经通过代码介绍了OAuth2.0四种授权模式的简单使用,现在来总结一下四种授权模式的特点 授权码模式 通过前端渠道客户获取授权码 通过后端渠道,客户使用authorization code去交换access Token和可选的refresh token 假定资源拥有者和客户在不同的设备上 最安全的流程,因为令牌不会传递经过user-agent 密码模式 使用用...
oauth0 oauth2_OAuth重播缓解攻击
weixin_26722031的博客
08-31 597
oauth0 oauth2When working with developers on authentication and authorization, I find that the nonce and state parameters are two of the more difficult parts of the OAuth 2.0 and OpenID Connect specif...
【转】OAuth 2.0 扩展协议之 PKCE
sunshingheavy的专栏
04-23 793
zOAuth 2.0 扩展协议之 PKCE 转自:OAuth 2.0 扩展协议之 PKCE - SpringLeee - 博客园 (cnblogs.com) 前言 阅读本文前需要了解 OAuth 2.0 授权协议的相关内容, 可以参考我的上一篇文章OAuth 2.0 的探险之旅。 PKCE 全称是 Proof Key for Code Exchange, 在2015年发布, 它是 OAuth 2.0 核心的一个扩展协议, 所以可以和现有的授权模式结合使用,比如 Authorization Code.
OAuth2】二十、OAuth2扩展协议 PKCE
weixin_43333483的博客
08-09 3384
OAuth2扩展协议 PKCE
OAuth 2.0授权模式时序图
罗小爬的技术宝书
03-20 2137
最近在准备一次技术分享,故整理了OAuth2.0不同授权模式对应的时序图,有需要的小伙伴尽请收下。
authorization_code
最新发布
07-04
"Authorization Code"通常指的是授权码(OAuth 2.0协议中的概念),这是一种在身份验证过程中使用的临时密钥,用于从客户端应用程序换取长期访问令牌(Access Token)。在OAuth 2.0流程中,用户同意应用的请求后,会收到一个授权码,这个代码随后会被发送到服务器,通过服务器端的验证后,可以换取访问权限。 下面是一个简化版的授权码授权流程示例[^4]: 1. 用户在客户端应用上点击登录并授权。 2. 客户端向授权服务器发起授权请求,包括应用的客户端ID和重定向URI。 3. 授权服务器返回一个授权码给客户端,附带一个临时的授权URL。 4. 客户端将授权码通过安全方式传递给服务器。 5. 服务器验证授权码并授予临时访问令牌和可能的刷新令牌。 6. 客户端用这些令牌来与受保护的资源交互,直到刷新令牌过期。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值