国密OAuth安全技术要求--GM/T 0068 开放的第三方资源授权协议框架

最新推荐文章于 2022-08-19 11:42:29 发布
最新推荐文章于 2022-08-19 11:42:29 发布
阅读量1.3k 收藏 2
点赞数 2
分类专栏: 认证服务 电子政务 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011893782/article/details/107029120
版权

国密的OAuth标准发布的很晚,2019年7月份才发布,标准名称是GM/T 0068 开放的第三方资源授权协议框架。

不熟悉OAuth RFC标准,没有三方登录开发经验的(微博、微信三方登录),阅读该标准可能比较吃力。

国密OAuth安全技术要求

1.通信保密,要求基于国密HTTPS。

2.获取access token接口,需要双向认证。授权服务器对第三方服务器的验证:1.口令2数字证书。

3.对第三方重定向uri要重点保护,防止授权码泄露。1.固定,注册时提供2.强身份认证时,可以不固定。

4.第三方资源重定向接口防止攻击,添加state。防止恶意攻击重定向接口,每一个重定向都会访问授权服务器,造成授权服务消耗资源。

5.令牌加密,先用SM3,再用SM2,最后用SM4加密。

王森 出发
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
GM/T标准整理
weixin_44479940的博客
12-21 4991
国家密码管理局,关于gm/t的标准 GM/T 0074-2019 网上银行密码应用技术要求 GM/T 0073-2019 手机银行信息系统密码应用技术要求 GM/T 0068-2019 开放第三方资源授权协议框架 GM/T 0076-2019 银行卡信息系统密码应用技术要求 GM/T 0075-2019 银行信贷信息系统密码应用技术要求 GM/T 0071-2019 电子文件密码应用指南 GM/T 0069-2019 开放的身份鉴别框架 GM/T 0066-2019 商用密码产品生产和保障能力建设实施指南
国密局发布16项密码行业标准 2022年5月1日起实施
开源中国
04-13 2610
国家密码管理局现发布第43号公告。公告显示,GM/T 0005-2021《随机性检测规范》等16项密码行业标准,自2022年5月1日起实施,具体标准编号及名称如下: GM/T 0005-2021随机性检测规范 GM/T 0013-2021可信计算可信密码模块接口符合性测试规范 GM/T 0103-2021随机数发生器总体框架 GM/T 0104-2021云服务器密码机技术规范 GM/T 0105-2021软件随机数发生器设计指南 GM/T 0106-2021银行卡终端产品密码应用技术要求 GM
OAuth 2.0设计规范
一叶知春秋
05-20 1466
OAuth2.0接口设计规范说明 OAuth开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务器提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们数据的所有内容。
oauth2.0 密码方式认证分析
最新发布
qq_39584267的博客
08-19 3213
oauth2.0 密码方式认证分析
国密SM2 Https服务器搭建--全网最完整方案
热门推荐
u011893782的博客
06-09 1万+
参考资料4 详细分析了数据报文,实现方案也是采用大宝国密SDK。 参考资料 1、大宝CA doubleCAhttps://doubleca.com/test_toIndexPage.action 2、国密服务器开发https://github.com/mrpre/atls 3. TLS/SSL 协议详解 (29) 国密SSL协议(代码见参考文献2)https://blog.csdn.net/mrpre/article/details/78015580 4.国密SSL协议开发总结(附报文详细...
GM-T 0028-2014 密码模块安全技术要求(最新注释版).pdf
02-21
文字清晰可拷贝,最新注释版本
GM/T 0035.5-2014 《射频识别系统密码应用技术要求 第5部分:密钥管理技术要求
01-08
GM/T 0035.5-2014 《射频识别系统密码应用技术要求 第5部分:密钥管理技术要求GM/T 0035 的本部分规定了射频识别系统在采用密码机制时电子标签、读写器及其通信相关的密钥管理要求。 本部分适用于射频识别系统...
GM/T 0030-2014 《服务器密码机技术规范》
01-07
GM/T 0030-2014 《服务器密码机技术规范》 本标准规定了服务器密码及的相关术语,规定了服务器密码机功能要求、硬件要求、软件要求安全要求和检测要求等有关内容。 本标准适用于服务器密码机的研制、使用,...
GM/T 0070-2019 《电子保单密码应用技术要求
01-07
GM/T 0070-2019 《电子保单密码应用技术要求》 本标准描述了保险行业电子保单业务的密码应用需求,规定了电子保单的投保、签发、存储、验证、递送等电子保单管理主要环节的密码应用技术要求,本标准可为电子保单的面...
GM/T 0074-2019 《网上银行密码应用技术要求
01-07
GM/T 0074-2019 《网上银行密码应用技术要求》 本标准规定了密码技术在网上银行业务中应用的相关要求,包括密码算法、密钥管理、证书管理、安全通道、密码设备及数字签名六个方面。 本标准适用于指导网上银行业务中...
GMT0068-2019开放第三方资源授权协议框架.pdf
06-01
GMT0068-2019开放第三方资源授权协议框架.pdf
国密认证 - 密码模块安全技术要求
11-28
1. 密码模块规格 2. 密码模块接口 3. 角色、服务与鉴别 4. 软件/固件安全 5. 运行环境 6. 物理安全 7. 非入侵式安全 8. 敏感安全参数管理 9. 自测试 10. 生命周期保障 11. 对其它攻击的缓解
(新国密标准)信息安全技术 安全电子签章密码技术规范.pdf
04-29
(新国密标准)信息安全技术 安全电子签章密码技术规范.pdf
国密加密SM2二级认证安全性检测要求对应文档.xls
03-30
国密加密SM2二级认证安全性检测要求对应文档,文档是对应GMT 0039-2015 密码模块安全检测要求,从国密认证安全监测要求中整理了,国密二级认证的一些要求,方便大家在准备认证时参考
Nginx国密服务器搭建
w277608109的专栏
06-27 1799
下载nginx源码(无需修改nginx代码),将下载的nginx安装包和附件内容放置在同一个目录下。 编译gmssl静态库的Linux版本 root@localhost:~# cat /etc/issue Ubuntu 16.04.1 LTS \n \l root@localhost:~# uname -a Linux localhost 4.4.0-31-generic #50-Ubuntu SMP Wed Jul 13 00:07:12 UTC 2016 x86_64 x86_64 x86_64
微信网页授权之access_token和refreshtoken区别与联系
欢迎访问,Viola的博客!
07-22 1万+
授权码设置(code)  第三方通过code进行获取 access_token的时候需要用到,code的超时时间为10分钟,一个code只能成功换取一次access_token即失效。 授权作用域(scope)  作用域代表用户授权第三方的接口权限,第三方应用需要向服务端申请使用相应scope的权限后,经过用户授权,获取到相应access_token后方可对接口进行调用。 令牌有效期(acces...
Spring Security OAuth2密码模式(四)
FAIRYTAIL的博客
08-28 3017
之前已经使用客户端模式进行认证授权的演示记录,但到目前为止还没有使用到用户相关的信息,之前项目都是在用户登录的时候判断用户名和密码是否正确,都校验通过后查询用户拥有的角色及菜单,并将用户权限信息放入session,那使用oauth2后怎么结合用户的角色权限保护资源呢?本篇记录一下密码模式的使用姿势。
服务器使用国密(SM2/SM3/SM4)证书,通过浏览器访问
致知的博客
11-28 1万+
1. Apache + Gmssl Apache 本身不支持国密,需要修改代码支持GMTLS 下载解压: wget http://archive.apache.org/dist/httpd/httpd-2.4.39.tar.gz tar -zxf httpd-2.4.39.tar.gz 修改文件:Apache dir\modules\ssl\ssl_engine_init.c SSL_C...
如何搭建国密服务器支持ECDHE?求指点
weixin_38358108的博客
09-23 344
在网上没有找到相关的资料,有大神知道麻烦可以告知一下
国密标准GM/T 0028-2014:密码模块安全解析
后续内容未展示,但从上述信息可以推断,标准中可能还包括了更高级别的安全要求,比如三级和四级,它们会提供更强的防护措施,包括更复杂的加密算法、更严格的访问控制和更全面的安全审计功能。此外,标准可能还会...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王森 出发

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值