OAuth2.0认证过程中使用state传输业务数据

最新推荐文章于 2024-07-29 13:55:25 发布
最新推荐文章于 2024-07-29 13:55:25 发布
阅读量1.2k 收藏
点赞数
分类专栏: OAuth2.0 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35996542/article/details/115664047
版权
本文介绍了OAuth2.0授权机制的基本概念和四种授权方式,强调了state参数在防止令牌滥用和传递业务数据中的作用。详细阐述了如何利用state值在认证过程中传输functionId=param1等业务数据,包括覆盖源码生成state、注册到安全认证配置以及解析state值追加到目标URL的步骤。
摘要由CSDN通过智能技术生成

TOC

前言

一、OAuth2.0简单说明

是授权机制,用来授权第三方应用,获取用户数据。
有四种授权方式

  • 授权码(authorization-code)先申请一个授权码,然后再用该码获取令牌
  • 隐藏式(implicit)
  • 密码式(password):
  • 客户端凭证(client credentials)
    四种授权方式都会先进行注册,用来获得客户端 ID(client ID)和客户端密钥(client secret)。这是为了防止令牌被滥用,没有注册过的第三方应用,没有权限请求资源。
http://localhost:8080/openid-connect-server-webapp/authorize?response_type=code&client_id=4fcce0a5-c402-4edd-9dee-611c4a56e604&scope=openid
&state=SjRtTWp3Vit4aFF2UEdxY1I1WUF5UT09&redirect_uri=http://localhost:8081/login/test&nonce=Jly0EXwqxddHgh-hQ0MTSSmHzFWu4UrQZEsbHgd-aEY

state参数解释

  • state 表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。这里利用state值原封不动返回机制来传递业务程序所需的数据
参考资料:http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html

二、使用步骤

-1-单点地址 
http://localhost:8081/oauth2/authorization
最低0.47元/天 解锁文章
WukongGH
关注
专栏目录
OAuth2.0的安全漏洞及避免方法:使用OAuth2.01.0B协议实现
AI天才研究院
07-14 2297
作者:禅与计算机程序设计艺术 什么是 OAuth2.0OAuth(Open Authorization)是一个开放授权标准协议,它允许第三方应用访问用户在某些网站上存储的私密信息,如照片、邮箱、联系方式等。OAuth 是建立在Oauth Core 1.0协议规范之上的一个子协议,该
开放平台实现安全的身份认证与授权原理与实战:OAuth2.0state参数以及它如何阻止CSRF攻击
AI天才研究院
11-03 284
作者:禅与计算机程序设计艺术 1.背景介绍 身份认证(Authentication)、授权(Authorization)、密码管理(Password Management),在当代互联网应用占据着至关重要的作用。而在云计算、物联网(IoT)、区块链等新型科技革命带来的社会生产力的高度发展下,这些基
OAuth2.0 里面的 state 参数是干什么的?
过河的小卒子的博客
12-24 6068
OAuth2.0 里面的 state 参数是干什么的? 是为了防止CSRF 攻击
OAuth2.0概述
qq_43843037的博客
01-24 1万+
OAuth2.0概述 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三 方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点: 简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及
【转】Oauth2.0 里面的 state 参数是干什么的?
waltertan1988的博客
01-15 2773
  读者在看这篇文章之前,请先了解 Oauth2.0 的 Authorization Code 授权流程,可以看Authorization Code 授权原理和实现方法   我们还是用 A 来代表合作方,用 B 来代表鉴权方。在授权流程,A 发起授权时,会向 B 传一个 state 参数,而 B 对这个参数只做一个事情,就是在 302 跳转返回的时候把它原封不动的返回。为什么要这么做呢?这背后是 CSRF 攻击。   攻击的流程是这样的:   1,攻击者访问 A,通过点击,触发授权流程   .
OAuth2授权页面state参数的设计
weixin_34221773的博客
05-16 1773
场景描述: 第三方应用:freeshare 账号系统:account freeshare点击登录,跳转到account页面进行授权。 具体例子可以参考我们的freeshare系统:http://freeshare.free4lab.com/   原先的设计 进行授权的时候,传参数:client_id和redirect_uri,参数简单解释如下: client_i...
OAuth 2.0 认证和攻击面
god_Zeo的安全博客
02-25 1453
攻击面主要是,CSRF绑定劫持漏洞,还有就是回调URL未校验,绕过校验,或者配合url跳转绕过啥的。
【漏洞挖掘】——142、 逻辑漏洞之OAuth 2.0认证缺陷刨析
最新发布
Fly_鹏程万里
07-29 457
我们在浏览到一个网页时经常会遇到需要使用一段第三方社交媒体的账户(Github、Facebook等)登录的情况,而这种大多数都是使用OAuth 2.0框架构建的,关于此项技术之前只是在一些功能站点作为用户来使用并未对此进行深入研究,最近出于对OAuth 2.0的安全评估需求,对OAuth 2.0的身份认证过程和安全脆弱性进行了一个从零到一的梳理并以文章方式呈现,本篇文章将着重介绍OAuth身份认证的原理、OAuth 身份认证过程存在的安全问题以及如何正确使用OAuth进行身份认证
【项目实战】基于OAuth2.0认证的Code模式接口集成身份平台IAM,实现单点登录SSO功能
本本本添哥
12-01 698
【项目实战】基于OAuth2.0认证的Code模式接口集成身份平台IAM,实现单点登录SSO功能。
OAuth 2.0介绍
没有简介
08-24 4216
OAuth 2.0是一种授权框架,用于授权第三方应用访问用户的资源,比如用户的照片、个人信息等。OAuth 2.0定义了四种授权方式:授权码模式、隐式授权模式、密码模式和客户端模式。OAuth 2.0具有高度的安全性和可扩展性,被广泛应用于各种开放平台的接口鉴权,是目前应用最广泛的开放平台鉴权方式之一。
oauth2.0协议
07-17
The OAuth 2.0 Authorization Framework, RFC 6749官方文档完整版,全书总共128页。
理解OAuth 2.0
weixin_30540691的博客
10-12 188
OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 本文对OAuth 2.0的设计思路和运行流程,做一个简明通俗的解释,主要参考材料为RFC 6749。 一、应用场景 为了理解OAuth的适用场合,让我举一个假设的例子。 有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"...
OAuth 2.0授权框架详解
热门推荐
程序那些事
11-24 1万+
在现代的网站,我们经常会遇到使用OAuth授权的情况,比如有一个比较小众的网站,需要用户登录,但是直接让用户注册就显得非常麻烦,用户可能因为这个原因而流失,那么该网站可以使用OAuth授权,借助于github或者其他的第三方网站的认证授权,来获取相关的用户信息,从而避免了用户注册的步骤。 当然,很可能在第三方网站上授权获得用户信息之后,还需要在本网站填写一些必要的信息进行绑定,比如手机号,用户名等等。 但是这比单纯的注册要方便太多了,也容易让用户接受。 今天,我们将要讲解一下OAuth 2.0授权框
OAuth2.0忽略state参数引发的CSRF漏洞
jiangyang100的博客
01-31 1112
这个参数在许多开放平台上也会有提及,比如新浪微博的 Oauth2/authorize(http://open.weibo.com/wiki/Oauth2/authorize ): 用于保持请求和回调的状态,在回调时,会在Query Parameter回传该参数。答案就是用户乙绑定了用户丙的微博,用户丙绑定了用户乙的微博了……这种特性,导致这个漏洞在绝大多数网站根本无法快速撒网,只能定向劫持未绑定的用户到攻击者OAuth账号上,而攻击一次后,这个账号必须解绑才能用于别的攻击,导致利用难度增大不少。
Oauth2.0 安全性问题,code,CSRF与PKCE
kidkid1208的博客
03-07 5575
CSRF攻击 上图是OAuth2.0授权码授权流程,可以看到,流程用户整体发起了两次请求到认证服务器后端,且这两次请求是分离的,因此给攻击者发起CSRF攻击制造了条件。即攻击者通过前三步生成攻击者的含授权码的RedirectURL,引导在webapp上已登陆的用户点击恶意网站上的恶意链接(攻击者的含授权码的RedirectURL),这样就会继续步骤6后续流程,造成webapp登陆的用户账号绑定攻击者的第三方账号。 可以看到,CSRF攻击应用在授权码认证流程的条件是用户必须已经登录了第三方网站。即通过将攻.
OAuth state参数 CSRF
heySister
12-10 1798
记录 之前觉得问题都是出在RP端的,比如没有正确校验state参数,没有正确使用state参数这些。刚刚突然发现其实IdP端也没有校验好。 有些网站压根就没有使用state参数,这种情况下,作为IdP端,应该是提示需要有随机参数的,但是像微信、微博都是当做正常情况下处理的。(可能是为了给应用网站提供更大的自主空间,允许他们使用自己定义的参数,毕竟讲道理只要应用网站做好校验,就可以避免漏洞的) 还发现CSDN在使用OAuth来绑定微信账号的时候,state参数是固定为了csdn,但是因为CSDN在绑定账号前需
oauth授权模式的理解和阐述:state作用分析(二)
只会写bug的靓仔的博客
05-09 1653
书接上回说道: oauth授权的简单理解和阐述 state的状态码有什么
从前端安全出发理解OAuth2.0
dzqxwzoe的博客
02-01 391
在整个OAuth2.0授权认证流程,绝大部分的通信发生在第三方应用的服务端与授权服务器之间这就可以保证这部分通信是不会被攻击者窃取的,但是还有一部分通信流程是可能被暴露在攻击者眼前的,就如第三方应用的客户端与服务端之间的通信可能就被用户手机自动连接上的免费wifi所监听着。而绑定劫持则恰恰相反,绑定劫持指的是攻击者诱骗被攻击者登录了攻击者的账号,比如被攻击者的游戏账号被诱骗登录并绑定了攻击者的账号,那么攻击者便可以顺理成章的登录上被攻击者的游戏账号了。以下的几个回调地址就是攻击者构造的恶意地址的典型。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值