移动和桌面端OAuth2.0安全分析和CodeVerifier机制

  1. 云栖社区>
  2. 博客>
  3. 正文

移动和桌面端OAuth2.0安全分析和CodeVerifier机制

巴梨 2018-07-23 09:05:06 浏览1071
展开阅读全文

桌面端和移动端是在App中内嵌浏览器辅助完成OAuth2.0整个流程
流程如图所示

image.png

OAuth2.0 Web端
1)返回authCode到指定Web redirectUri(此uri是应用开发者来配置)
2)换token需要传clientId和clientSecret验证client身份 (应用后端服务获取)

注意到以上两点,
1) 因为不是Web应用 redirectUri检测无效
2) 因为没有后端服务 clientSecret无安全可言
那么我们可能遭受到的攻击如下图所示,可能会有恶意的应用拦截authCode给AuthorizationServer发消息获取token,如此便未经客户给该应用授权而是给另外的正式的应用授权便拿到了token,达到了攻击的目的。

image.png

解决方案:
1.客户端生成一个随机字符串:code verifier,并保存好这

网友评论

登录后评论
0/500
评论
巴梨
+ 关注