Ich habe verschiedene OAuth-Ströme gelesen und habe Verwirrung über den Autorisierungscode-Fluss. Es wird gesagt, dass Authorization Code Flow sicherer ist, denn selbst wenn der Autorisierungscode während der Übertragung entführt wird, ist er für den Hacker nutzlos, da der Hacker die Client - ID und das Client - Geheimnis benötigt, um das Zugriffstoken zu erhalten Client-Anfragen für Access-Token nach dem Erhalt der Autorisierungs-Code, hackt Hacker die Übertragung und erhalten das Access-Token? Ich weiß es nicht, aber es sieht so aus, als ob der Autorisierungscode nur eine zusätzliche Sicherheitsschicht hinzufügt, aber die Zugriffstoken nicht vollständig sichert. Bin ich richtig? Bitte korrigieren Sie mich.Können Zugriffstoken im Autorisierungscode-Flow OAuth abgefangen werden?
0
A
Antwort
0
Der typische Anwendungsfall für einen Strömungsautorisierungscode ist, dass die Token-Anforderung (dh derjenige, der den Autorisierungscode für einen Zugriffstoken austauscht) über eine TLS-Rückkanal geschützt getan wird, was bedeutet, dass der Angreifer nicht, um es zu bekommen - es sei denn, Er ist in der Lage, SSL zu brechen. In diesem Fall gibt es viel größere Probleme.
Aber für Front-Kanal-Anwendungsfall, d. H. Eine In-Browser-Javascript-Anwendung oder Single Page Application haben Sie Recht: Ein Hacker könnte fast genauso einfach die Token-Anfrage als Redirect abfangen. Das ist auch der Grund, warum dieser Anwendungsfall keinen vertraulichen Client verwenden kann, da das Geheimnis zu leicht offen gelegt würde.
Verwandte Themen
- 1. Können Perl-Methodenaufrufe abgefangen werden?
- 2. Sind OAuth-Zugriffstoken vertraulich?
- 3. GitLab OAuth-Zugriffstoken-Gültigkeit
- 4. OAuth - Zugriffstoken-Ablaufzeitraum?
- 5. Wie können Transaktionsausnahmen in @Async abgefangen werden?
- 6. Anforderungs- und Zugriffstoken in OAUTH
- 7. Stormpath OAuth-Zugriffstoken auf Cookie
- 8. Google OAuth - wie man Zugriffstoken wieder verwendet
- 9. Enthalten OAuth-Zugriffstoken Rollen wie JWT-Token
- 10. OAuth-Zugriffstoken kann nicht in Mule geholt werden
- 11. Google Identity Toolkit Verbundanmeldung und OAuth-Zugriffstoken
- 12. Ausnahmen werden im GCC-Programm nicht abgefangen
- 13. eine OAuth-Zugriffstoken für Microsoft Live API
- 14. OAuth-Zugriffstoken zum Abrufen eines neuen Zugriffstokens
- 15. Langlebiges Zugriffstoken für Google OAuth 2.0
- 16. Android Misfit API OAuth 2: Wie Zugriffstoken
- 17. Failing OAuth 2.0 Zugriffstoken auf Android-Emulator
- 18. andere twitter oAuth cURL Zugriffstoken Anfrage, die
- 19. OAuth 2: Probleme, Zugriffstoken zu erhalten
- 20. Google OAuth-Zugriffstoken aktualisieren nicht Token NULL
- 21. wie oauth Zugriffstoken für Facebook mit Ruby
- 22. Wie können benutzerdefinierte Ausnahmen von Futures abgefangen werden?
- 23. Wie können Systemaufrufe unter Unix-Umgebungen abgefangen werden?
- 24. Kann ein ExceptionInInitializerError abgefangen werden?
- 25. Warum ist OAuth für Anforderungstoken und Zugriffstoken ausgelegt?
- 26. Kann ein OAuth 2.0-Zugriffstoken ein JWT sein?
- 27. Ausnahme im Multiprocessing nicht abgefangen
- 28. Wie alle Berührungsereignisse abgefangen werden?
- 29. System.Printing.PrintQueueException kann nicht abgefangen werden
- 30. ConstraintViolationException kann nicht abgefangen werden
Hallo, Sie sagten "Autorisierungscode Fluss ist, dass die Token-Anfrage (dh die, die den Autorisierungscode für ein Zugriffs-Token austauscht) über einen TLS-geschützten Backchannel erfolgt", aber wenn dieser Flow über TLS-geschützten Backchannel verwendet wird, Warum kann der Authentifizierungsserver kein Zugriffstoken anstelle des Authentifizierungscodes zurückgeben, wenn ein Benutzer eine App authentifiziert? –
Da dies im Front-Kanal mit dem Autorisierungscode-Fluss wäre, per Definition –
Hi @HansZ. Ich stimme dem zweiten Teil Ihrer Antwort nicht zu. Der RFC6749 verhindert nicht, dass öffentliche Clients den Autorisierungscode-Fluss verwenden. Um die Ausgabe eines Zugriffstokens mit einer abgefangenen Auth. Mit diesem Client-Typ führt der RFC7636 einen Code-Verifier ein. Der Entwurf https://tools.ietf.org/html/draft-ietf-oauth-security-topics-03#section-5.1.1 zeigt an, dass dies der bevorzugte Weg für native Apps ist. –