OAuth 流程与发展总结 (1.0 => 1.0a => 2.0)

OAuth 流程与发展 (1.0 => 1.0a => 2.0)

概述

  1. 概述: 开放授权协议
  2. 作用: 允许第三方应用访问服务提供方中注册的终端用户的部分资源
    下面是官方描述: [OAuth描述] The OAuth 2.0 authorization framework enables a third-party application to obtain limited access to an HTTP service, either on behalf of a resource owner by orchestrating an approval interaction between the resource owner and the HTTP service, or by allowing the third-party application to obtain access on its own behalf.
  3. 参与者:
    1. Client (Consumer) => 第三方应用
    2. Resource Owner(User) => 用户
    3. Resource Server(Service Provider) => 资源服务提供方(OAuth2.0将服务提供方拆分为两部分)
    4. Authorization Server(Service Provider) => 授权服务提供方(OAuth2.0将服务提供方拆分为两部分)
  4. OpenID (WHO) 和 OAuth (WHAT)
    => OpenID 更加关注 ‘我是谁‘ 的问题
    => OAuth 更加关注 ‘我能获得哪些权限的问题‘

OAuth1.0 流程图

接口

  1. (步骤 A) Consumer申请Request Token(/oauth/1.0/request_token):
    oauth_consumer_key
    oauth_signature_method
    oauth_signature
    oauth_timestamp
    oauth_nonce
    oauth_version
  2. (步骤 B) Service Provider返回Request Token:
    oauth_token
    oauth_token_secret
  3. (步骤 C) Consumer重定向User到Service Provider(/oauth/1.0/authorize):
    oauth_token
    oauth_callback
  4. (步骤 D) Service Provider在用户授权后重定向User到Consumer:
    oauth_token
  5. (步骤 E) Consumer申请Access Token(/oauth/1.0/access_token):
    oauth_consumer_key
    oauth_token
    oauth_signature_method
    oauth_signature
    oauth_timestamp
    oauth_nonceoauth_version
  6. (步骤 F) Service Provider返回Access Token:
    oauth_token
    oauth_token_secret

OAuth1.0 漏洞

两种Token,分别是Request Token和Access Token,其中Request Token又涉及两种状态,分别是未授权和已授权。

攻击者会先申请攻击者自己的Request Token,然后诱使用户授权这个攻击者的Request Token,接着针对回调地址的使用,又存在以下几种攻击手段:

  1. 如果Service Provider没有限制回调地址(应用设置没有限定根域名一致),那么攻击者可以把oauth_callback设置成成自己的URL。
  2. 如果Consumer不使用回调地址(桌面或手机程序),而是通过User手动拷贝粘贴Request Token完成授权的话,那么只要攻击者在在User前面发起请求,就能拿到User的Access Token。

OAuth1.0 改进

  1. 步骤 B 传递 callback_url参数 (而不是 获取已授权 request_token 步骤) Consumer申请Request Token时,必须传递oauth_callback, 让callback参与签名, 避免攻击者假冒callback。
  2. 验证完未授权 request_token 返回新的参数 oauth_verifier 验证完成后会返回验证码(oauth_verifier)在没有callback的时候, 服务提供方显示给用户,然后用户可以在第三方应用的设备上输入,标示自己已经授权(和未授权的用户分开),然后第三方应用必须加上该验证码去获取

OAuth1.0a 流程图

OAuth2.0 流程

OAuth 2.0定义了四种授权方式。

  1. 授权码模式(authorization code)(本文只讲解该授权方式)
  2. 简化模式(implicit)
  3. 密码模式(resource owner password credentials)
  4. 客户端模式(client credentials)

接口

  1. (步骤 A) Client 向Authorization Server发出申请(/oauth/2.0/authorize):
    response_type = code?client_id?redirect_uri?scope?state
  2. (步骤 B) Authorization Server 在Resource Owner授权后给Client返回
    code?state
  3. (步骤 C) Client向Authorization Server发出申请(/oauth/2.0/token):
    grant_type = authorization_code?code?client_id?client_secrect?redirect_uri
  4. (步骤 E) Server在Resource Owner授权后给Client返回Access Token:
    access_token?token_type?expires_in?refresh_token

关于 state 参数

[RFC 对state参数的解释]
The authorization server SHOULD require the client to provide the complete redirection URI (the client MAY use the "state" request parameter to achieve per-request customization). If requiring the registration of the complete redirection URI is not possible, the authorization server SHOULD require the registration of the URIscheme, authority, and path (allowing the client to dynamically vary only the query component of the redirection URI when requesting authorization).
我们假设出现下面的场景:
(1)用户甲到第三方网站A登录后,到了绑定页面。此时还没绑定微博。
(2)绑定页面提供一个按钮:“绑定微博”(地址a:http://aaa.com/index.php?m=us...
(3)用户甲点击地址a,程序生成如下地址b:
https://api.weibo.com/oauth2/...【9999999】&redirect_uri=【http://aaa.comindex.php】&response_type=【code】
(4)用户甲浏览器定向到地址b,授权该应用。
(5)授权服务器根据传递的redirect_uri参数,组合认证参数code生成地址c:
http://aaa.comindex.php&code=【809ui0asduve】
(6)用户甲浏览器返回到地址c,完成绑定
此时即使我们交换两个用户的地址c,则会出现绑定错误的情况,避免出现该情况的办法就是对state参数进行验证,来判断该state参数是否是该用户所对应的重定向地址

参考文献

  1. https://huoding.com/2010/10/10/8 《OAuth那些事儿》
  2. https://huoding.com/2011/11/0... 《OAuth的改变》
  3. https://www.zhihu.com/questio...《Oauth 1.0 1.0a 和 2.0 的之间的区别有哪些?》
  4. http://www.ruanyifeng.com/blo... 《理解 OAuth2.0》
  5. http://blog.sina.com.cn/s/blo... 《小议OAuth 2.0的state参数——从开发角度也说《互联网最大规模帐号劫持漏洞即将引爆》》
  6. https://tools.ietf.org/html/r... 《RFC 6749》

结语

这篇文章是参考网上的资料的总结, 如果有错误欢迎批评指正, 如果侵权, 请作者联系我删除文章, 谢谢
有兴趣的同学也可以参照 [微博OAuth] API, 申请一个第三方应用, 参照微博API去实现一个获取 access_token的测试用例 (微博会给予申请的第三方应用 client_id, client_secret)

原文地址:https://www.cnblogs.com/baimeishaoxia/p/11963784.html

时间: 2024-10-29 04:37:49

OAuth 流程与发展总结 (1.0 => 1.0a => 2.0)的相关文章

Spring MVC 3.0.5+Spring 3.0.5+MyBatis3.0.4全注解实例详解(三)

前两章我为大家详细介绍了如何搭建Maven环境.Spring MVC的流程结构.Spring MVC与Struts2的区别以及示例中的一些配置文件的分析.在这一章,我就对示例的层次结构进行说明,以及MyBatis的一些简单介绍. 本文不会对MyBatis作详细说明,大象还是假定阅读本文的朋友对MyBatis(ibatis)有最基本的了解,只有这样才能较好的理解本文的内容.关于MyBatis请查看它的官方文档及其它参考资料,本文不作详细讨论. 一.工程结构图      上面这是典型的Maven项目

Spring MVC 3.0.5+Spring 3.0.5+MyBatis3.0.4全注解实例详解(一)

Spring更新到3.0之后,其MVC框架加入了一个非常不错的东西——那就是REST.它的开放式特性,与Spring的无缝集成,以及Spring框架的优秀表现,使得现在很多公司将其作为新的系统开发框架.大象根据实际的项目经验,以之前SSH2例子为基础,对其进行一次大改造,详细的为大家讲解如何实现SSM3全注解式的开发. 这次大象将采取两种构建方式,一是很多人喜欢用的MyEclipse,另一个,则是用Eclipse+Maven.这一篇,将主要讲解开发环境设置与Maven构建方式. 1. 开发环境

Spring MVC 3.0.5+Spring 3.0.5+MyBatis3.0.4全注解实例详解(二)

在上一篇文章中我详细的介绍了如何搭建maven环境以及生成一个maven骨架的web项目,那么这章中我将讲述Spring MVC的流程结构,Spring MVC与Struts2的区别,以及例子中的一些配置文件的分析. 一.Spring MVC 3.0介绍 Spring MVC是一个典型的MVC框架,是Spring内置的Web框架,可以作为应用项目的展示层,继Spring 2.0对Spring MVC进行重大升级后,Spring 2.5又为Spring MVC引入了注解驱动功能,再到3.0时代,全

Spring MVC 3.0.5+Spring 3.0.5+MyBatis3.0.4全注解实例详解(四)

这一章大象将详细分析web层代码,以及使用Spring MVC的注解及其用法和其它相关知识来实现控制器功能.     之前在使用Struts2实现MVC的注解时,是借助struts2-convention这个插件,如今我们使用Spring自带的spring-webmvc组件来实现同样的功能,而且比之以前更简单.另外,还省掉了整合两个框架带来的不稳定因素.     对于Spring MVC框架,我主要讲一下它的常用注解,再结合一些示例进行说明,方便大家能够快速理解.     一.Spring MV

[Web3.0]什么是Web3.0/时代

问题描述 虽然现在移动互联网这么接地气,每天身陷其中无法自拔,但是具体移动互联网的发展过往与总体趋势如何,以及具体的表现形式是什么,并没有比较清晰的划分.于是想结合较大的趋势和背景进行下了解,以避免当局者迷的情况. Web时代 如下是一张图,Web时代应当就是通过浏览器,实现信息的获取,信息的交换,信息的表达: 基于网络互联的Web1.0时代,基于社交的Web2.0时代,以及现在的基于移动的Web3.0时代. 从网上找到的,依据该图,现在应当是进入Web3.0的时期了,许多社交变革可能会发生.W

Angular 1.0演变Angular 2.0的简单优势列举

首先,Angular最核心的4大特性分别是: 1.模块化 2.MVC 3.双向数据绑定 4.指令 Angular 1.0演变Angular 2.0的简单优势列举: 1.性能限制上的优化 说明:随着时间的推移,各种特性被加入进去以适应不同场景下的应用开发,在最初的架构受到了限制,而Angular 2.0很好的解决了这些问题. 2.仿照WEB后端的结构模式来编写前端 说明:支持模块.类.lambda表达式. generator等新的特性 3.支持移动端开发 说明:Angular1.x没有针对移动 应

c# .net 3.5 4.0 4.5 5.0 6.0各个版本新特性战略规划总结【转载】

引用:http://blog.csdn.net/attilax/article/details/42014327 c# .net 3.5 4.0 各个版本新特性战略规划总结 1. --------------.Net Framework版本同CLR版本的关系1 2. paip.------------SDK2.0功能-------------2 2.1. 泛型:2 3. --------------sdk3.0  增加了以下功能..2 3.1. LINQ 3 4.  ----------sdk4

React v15.5.0更新说明 & v16.0.0更新预告

React今日发布了15.5.0版本,同时这也将是以15开头的最后一个版本,下一次发布,我们将迎来React 16.0.0 在15.5.0这一版本中,主要有以下两处改动: 独立React.PropTypes 在之前的版本之中,我们可以通过React.PropTypes这个API访问React内置的一些类型来检查props,在15.5.0版本中,这一API被独立成了一个新的包 prop-types // 15.4 以前 import React from 'react'; class Compon

System.Web.Mvc 3.0.0.1 和 3.0.0.0 有什么区别?被 Microsoft ASP.NET MVC 的一次安全更新害惨了!!!

今天更新站点时,发现网站竟然报错 ... uses 'System.Web.Mvc, Version=3.0.0.1, Culture=neutral, PublicKeyToken=31bf3856ad364e35' which has a higher version than referenced assembly 'System.Web.Mvc, Version=3.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' 最终发现