RFC7636-PKCE

于 2024-01-01 19:01:59 发布
阅读量999 收藏 19
点赞数 21
分类专栏: WebSecurity 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43072399/article/details/135324476
版权
本文介绍了PKCE(ProofKeyforCodeExchange)的概念,它是RFC7636标准,用于保护OAuth授权过程免受CSRF和代码注入攻击。PKCE在包括客户端身份验证的应用中都适用,通过code_challenge和code_verifier参数确保请求的安全性。
摘要由CSDN通过智能技术生成

前言

PKCERFC 7636) 是授权代码流的扩展,用于防止 CSRF 和授权代码注入攻击。

PKCE 不是客户端身份验证的一种形式,PKCE 不能替代客户端密码或其他客户端身份验证。即使客户端使用客户端密码或其他形式的客户端身份验证(如 private_key_jwt),也建议使用 PKCE

注意:由于PKCE不能替代客户端身份验证,因此它不允许将公共客户端视为机密客户端。

PKCE 最初旨在保护移动应用程序中的授权代码流,但其防止授权代码注入的能力使其对每种类型的 OAuth 客户端都很有用,甚至是使用客户端身份验证的 Web 应用程序。

RFC 7636:代码交换证明密钥(PKCE,发音为“pixy”)是关于针对授权代码拦截攻击的对策的规范。

在这里插入图片描述

该规范于 2015 年 9 月发布。它添加了:

  1. code_challenge 参数和 code_challenge_method 使用授权代码流的授权请求的参数。
  2. code_verifier 参数设置为与授权请求对应的令牌请求。

此机制使授权服务器能够拒绝来自没有代码验证程序的恶意应用程序的令牌请求。

PKCE授权请求

Request Parameters

使用 PKCE 的授权请求会发出 parameter,也可以选择 code_challenge_method parameter 发出 code_challenge

Code Challenge Value

代码验证程序本身是使用 字符的随机字符串,最小长度为 43 个字符 [A-Z] / [a-z] / [0-9] / “-” / “.” / “_” / “~” ,最大长度为 128 个字符。
在这里插入图片描述

Code Challenge Method

定义的代码质询方法是 plain 和 S256 。将代码验证器转换为代码质询的相应计算逻辑如下。

Method 方法Logic 逻辑
plaincode_challenge = code_verifier
S256code_challenge = BASE64URL-ENCODE(SHA256(ASCII(code_verifier))); code_challenge = BASE64URL-ENCODE(SHA256(ASCII(code_verifier)))

plain 方法不会更改输入,因此 的值 code_verifier 和结果 code_challenge 值相等。

S256 方法计算输入的 SHA-256 哈希值,然后使用 Base64-URL 对哈希值进行编码。例如,当 的值为 dBjftJeZ4CVP-mB92K27uhbUJU1p1r_wW1gFWFOEjXk 时,该 code_challenge 值变 code_verifierE9Melhoa2OwvFrEMTJguCHaoeK1t8URWbuGJSstw-cM

当使用的代码质询方法是 S256 时,客户端应用程序必须通过在授权请求中包含 code_challenge_method=S256 参数来告知它。如果 code_challenge_method 省略参数,则授权服务器将假定 plain 为默认值。

PKCE Authorization Response

生成授权代码后,授权服务器会将其保存到其数据库中,并在授权请求中包含代码质询和代码质询方法。

授权服务器稍后将使用保存的代码质询和代码质询方法来验证来自客户端应用程序的令牌请求。

来自授权终结点的响应对 PKCE 没有什么特殊之处。像往常一样,这是正常的反应。
在这里插入图片描述

PCKE Token Request

从授权服务器接收授权代码后,客户端应用程序会发出令牌请求。除了授权代码之外,令牌请求还必须包含用于计算代码质询的代码验证程序。

用于指定代码验证程序的请求参数的名称为 code_verifier

在这里插入图片描述

PKCE Token Response

Require Code Verifier

支持 PKCE 的授权服务器的令牌终结点检查令牌请求是否包含有效的代码验证程序。
当然,仅当authorization_code grant_type并且令牌请求中包含的授权代码与代码质询相关联时,才会执行此检查。
如果令牌请求不包含有效的代码验证程序,但满足上述条件,则该请求被视为来自恶意应用程序,授权服务器将返回错误响应。

Verify Code Verifier

通过比较两个代码质询来执行验证。
一个是授权请求中包含的内容,并存储在数据库中。另一个是授权服务器使用令牌请求中包含的代码验证程序和存储在数据库中的代码质询方法计算的内容。
如果两个代码质询相等,则令牌请求可被视为来自发出原始授权请求的合法客户端应用程序。否则,必须将令牌请求视为来自恶意应用程序。

Issue Access Token

如果验证了令牌请求,授权服务器将照常颁发访问令牌。

在这里插入图片描述

参考:
参考1
参考2
参考3

珠峰下的沙砾
关注
专栏目录
UPS-RFC1628-MIB.mib
08-06
《UPS-RFC1628-MIB.mib》是一个与不间断电源(Uninterruptible Power Supply, UPS)相关的管理信息库(Management Information Base, MIB)文件。MIB文件是网络管理系统(Network Management System, NMS)中用于...
RFC2045-2049.rar
03-19
标题中的"RFC2045-2049.rar"是指互联网请求评论(Request for Comments)编号为2045到2049的一系列技术文档,这些文档是关于多用途互联网邮件扩展(MIME, Multipurpose Internet Mail Extensions)的定义。MIME是一种...
【OAuth2】二十、OAuth2扩展协议 PKCE
weixin_43333483的博客
08-09 3266
OAuth2扩展协议 PKCE
9 客户端认证方式 之 PKCE
Markix的博客
09-30 2549
PKCE 是授权码流程的扩展,用于防止 CSRF 和授权码(code)注入攻击。 所以 PKCE 一般都伴随着授权码模式使用,可称之为 增强版授权码流程,又称 Authorization Code with PKCE Flow。用于公共客户端的认证...
08. 锦上添花:PKCE和授权码模式
weixin_45946850的博客
05-07 601
如上文所述,由于本地应用程序被视为是公共客户端,它的客户端ID是公开且容易获得的,因此上述这种拦截授权码并且使用截获的授权码交换访问令牌的风险是可能发生的。为了对抗这种攻击,OAuth 工作组制定了一项 Proof Key for Code Exchange (简称为PKCE, 读作“pixy”)的扩展技术,该技术被定义在 RFC 7636 文档(https://datatracker.ietf.org/doc/html/rfc7636)。
OAuth 2.0 扩展协议之 PKCE
微软技术栈
12-13 1310
大家好,我是本期的实验室研究员——等天黑。今天我们的研究对象是OAuth扩展协议PKCE,其中在OAuth 2.1草案中, 推荐使用Authorization Code + PKCE的授权模式, PKCE为什么如此重要? 接下来就让我们一起到实验室中一探究竟吧! 前言 PKCE 全称是Proof Key for Code Exchange,在2015年发布,它是OAuth 2.0核心的一个扩展协议,所以可以和现有的授权模式结合使用,比如Authorization Code + PKCE,这.
OAuth 2.0 的 PKCE 实现: 如何在客户端应用中使用
禅与计算机程序设计艺术
12-31 1013
1.背景介绍 OAuth 2.0 是一种授权机制,允许第三方应用程序在不暴露用户密码的情况下获得用户的权限,以便在其他服务中访问用户数据。PKCE(Proof Key for Code Exchange)是 OAuth 2.0 的一个扩展,它提供了一种安全地在客户端应用程序中交换代码的方法,从而避免了代码泄露的风险。 在这篇文章中,我们将讨论 PKCE 的实现细节,以及如何在客户端应用程序中使...
syslog-rfc5424-parser:用于解析 RFC5424 格式的 Syslog 消息的小型 Python 模块
05-30
该模块使用解析器生成器在 Python 中实现了 IETF Syslog 协议解析器。 它应该适用于 Python 3.3+。 文件包含一个功能齐全的 Syslog 服务器,它将在 UNIX 域套接字上接收消息并将它们作为 JSON blob 打印到标准输出...
rfc5766-turn-server:导入https
05-01
标题中的"rfc5766-turn-server"指的是基于IETF发布的RFC5766标准的Traversal Using Relays around NAT (TURN)服务器。这个服务器的主要功能是为实时通信(如WebRTC)提供网络地址转换(NAT)穿越服务。RFC5766是关于...
rfc2781-UTF-16.pdf
07-08
UTF-16, an encoding of ISO 10646 UTF-16 specification UTF-16 规范
react-pkce:使用PKCE流程对React进行OAuth2身份验证
05-22
它是什么? 这个零依赖包使应用程序可以使用OAuth2提供程序进行身份验证。 OAuth2提供程序必须支持 。 (TODO:指向解释为什么这样做是一个好主意/比使用隐式流程更好的资源的链接。) 查看()。 当提示您登录时,您可以使用电子邮件进行注册(使用表单底部的链接)。 先决条件 提供者URL,例如https://login.u5auth.com OAuth2客户端凭据(客户端ID和密码),允许客户端使用 。 一个应该通过OAuth2保护的React应用程序(或者,需要一个access_token来进行身份验证,例如对API的调用)。 如何 安装 npm i react-pkce 用 首先,创建一个身份验证上下文(及相关内容): const clientId = "8cb4904ae5581ecc2b3a1774" const clientSecret = "b68328
你的微服务在用 OAuth2 却不知道 CSRF 和 PKCE ?
Innocence_0的博客
12-30 1015
在微服务实战:基于Spring Cloud Gateway + AWS Cognito 的BFF案例一文中, 介绍了基于Amazon Cognito的OAuth授权码模式的认证流程。本文中,我们将研究可能针对此流程的恶意攻击以及如何防止它们。你将了解如何使用状态随机数(state nonce)来防止可能的CSRF攻击,以及 OAuth 推荐的用于防止重定向拦截攻击的PKCE(Proof Key for Code Exchange)机制。最后将附上基于Spring Security的代码实现。
基于OAuth的PKCE授权码模式(增强安全)
小单的博客专栏
02-25 6315
假设某一个原生客户端(即没有服务端的纯桌面应用程序、安卓、IOS等)需要接入第三方OAuth2.0的需求(code 授权码模式)。 首先按照OAuth2.0授权码模式的标准,需要按如下顺序工作: 这个客户端首先需要请求OAuth提供商的获取code的URL。 服务提供商弹出登录页面。 用户登录或确认授权。 原生客户端截获服务提供商 redirect_uri 地址并获取code。 原生客户端使用 code 调用服务提供商的接口换取 token。 那么问题来了,第5步的时候,大家都知道使用 code 换取
如何通过PKCE模式访问受Oauth2保护的资源
weixin_44058446的博客
09-08 5717
本文用来说明vue如何使用PKCE模式访问受oauth2保护的资源。所用技术栈包括spring boot, spring security和vue.
PKCE 流程中,code_verifier 和 code_challenge 的生成
weixin_44951259的博客
08-31 644
Oauth2 的 PKCE 流程中, code_verifier 和 code_challenge 的生成规则
PCIe扫盲——PCIe简介
热门推荐
kunkliu的博客
06-28 3万+
转载地址:http://blog.chinaaet.com/justlxy/p/5100053066 PCI-Express是继ISA和PCI总线之后的第三代I/O总线,即3GIO。 由Intel在2001年的IDF上提出,由PCI-SIG(PCI特殊兴趣组织)认证发布后才改名为“PCI-Express”。它的主要优势就是数据传输速率高,另外还有抗干扰能力强,传输距离远,功耗低等优点。 注:...
盘点认证协议 : 普及篇之OAuth , OIDC , CAS
black-ant
08-03 4839
首先分享之前的所有文章 , 欢迎点赞收藏转发三连下次一定 >>>> ???????????? 文章合集 : ???? https://juejin.cn/post/6941642435189538824 Github : ???? https://github.com/black-ant CASE 备份 : ???? https://gitee.com/antblack/case 这一篇来聊一聊老本行 - 身份安全的相关概念 . 主要来说一说一般身份认证中
【转】OAuth 2.0 扩展协议之 PKCE
sunshingheavy的专栏
04-23 769
zOAuth 2.0 扩展协议之 PKCE 转自:OAuth 2.0 扩展协议之 PKCE - SpringLeee - 博客园 (cnblogs.com) 前言 阅读本文前需要了解 OAuth 2.0 授权协议的相关内容, 可以参考我的上一篇文章OAuth 2.0 的探险之旅。 PKCE 全称是 Proof Key for Code Exchange, 在2015年发布, 它是 OAuth 2.0 核心的一个扩展协议, 所以可以和现有的授权模式结合使用,比如 Authorization Code.
rfc1305-1992
最新发布
01-27
RFC1305-1992是由IETF发布的一项标准,该标准规定了网络时间协议(NTP)的工作原理与规范。NTP是用于在计算机网络中同步各个设备上的时间的协议,它可以保证网络中各个设备之间的时间一致性,从而确保网络中各种操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值