当我发现以下声明时,我正在阅读 Oauth.com 网站,试图了解如何在单页应用程序中实现安全性:
“没有客户端密码的授权码授予安全的唯一方法是使用“状态”参数并将重定向 URL 限制为受信任的客户端。由于未使用密码,因此无法验证身份客户端,而不是使用已注册的重定向 URL。"
如果我理解正确,他说我可以使用注册的重定向 URL 验证我的 SPA 的身份。
问题 1:如果我将授权代码重定向到 url(Web 服务器),我如何才能在浏览器中运行的 SPA 中获取它(或访问令牌或受保护的资源)?
问题2:在这个注册的url可以做什么样的检查来验证我的SPA身份?
【问题讨论】:
标签: api security oauth-2.0 authorization single-page-application
第一季度。您会在查询参数中收到一个授权码作为登录响应。然后将其换成访问令牌。然后使用访问令牌调用 API。
第二季度。使用 HTTPS 证明您拥有重定向 URI。使用 PKCE 在运行时创建一次性使用密钥。
我的资源
也许这些资源会给你一个更清晰的想法 - 随时发布任何后续问题..
【讨论】:
授权代码作为code 查询参数包含在URL 中,因此您可以从SPA 访问它(例如使用window.location.search)。这将取决于 OAuth2 提供者是否能够将该代码交换为来自您的 SPA 的访问令牌。
如果您使用网络服务器进行代码->令牌交换,您需要将令牌放入您的 SPA 有权访问的数据库中。
来自 OAuth.com 的引用提到了两个安全措施,state 参数和注册的重定向 URL。这些可以防止两种不同的攻击:
state 参数可防止攻击者使用带有被盗授权代码的 URL 来检索受害用户的访问令牌并将其与攻击者的帐户相关联。通过验证 URL 中的 state 参数是否与您提供给授权服务器的 state 相同,您可以确定重定向是由授权服务器生成的,而不是攻击者。
注册的重定向 URL 可防止攻击者使用您的客户端 ID,但会将用户发送到授权 URL,授权后,该 URL 会将他们重定向到攻击者的 Web 服务器而不是您的 Web 服务器,从而允许攻击者检索用户的访问令牌。使用已注册的重定向 URL,授权服务器将仅重定向到您控制的预注册重定向 URL,而不会重定向到攻击者的 Web 服务器。
您自己实现此流程的另一种方法是使用托管 OAuth 服务,特别是对于 SPA,它对可用的 OAuth 授权类型有限制。我工作的Xkit 旨在与 SPA 一起使用,并将所有 OAuth 流程(包括安全考虑)移出您的代码。
【讨论】: