一旦我成功登录到身份验证服务器,服务器就会使用授权代码重定向回应用程序。然后这个授权码用于在后端获取访问令牌。我怀疑是否有人在我使用授权码之前看到/捕获或复制了我的授权码。然后他也可以使用我的凭据登录。我想知道,我的想法是否正确?或者我在此过程中遗漏了一些安全流程。
编辑:我最关心的情况是有人在我的浏览器历史记录中看到了授权代码,然后他从其他机器发送此代码以获取访问令牌。我们怎样才能防止它。
【问题讨论】:
标签: oauth authorization single-sign-on access-token
您是对的:这就是为什么在 OAuth 2.0 中应该是一个固定的、注册的回调 URI,客户端在该 URI 上接收授权码,由 OpenID Connect 等配置文件强制执行。规范的安全考虑部分更深入地分析了授权码概念的风险:https://www.rfc-editor.org/rfc/rfc6749#section-10.5
【讨论】:
您客户的秘密is required 用于交换访问令牌的授权码。因此,如果您在后端保密您的客户端,攻击者可能能够捕获您的授权码,但无法获得访问令牌。
然后,很大程度上取决于您的重定向 uri。如果它属于您的服务器,则为 https(因此攻击者将无法 listen the traffic)并且您的服务器不允许 OpenRedirect - 攻击者可能无法捕获代码。
接下来,授权码应该是single-use。因此,如果攻击者在您的浏览器历史记录中发现了该代码 - 此代码可能已被交换为令牌 - 这就是它无法再次使用的原因。
请注意,这里我假设 OAuth 2.0 设计良好。忽略 RFC 4749 要求的 OAuth 2.0 实现可能会受到各种各样的攻击。
【讨论】: