在 Flask 会话中存储 oAuth 状态令牌

【问题标题】:Storing oAuth state token in Flask session在 Flask 会话中存储 oAuth 状态令牌
【发布时间】:2018-02-05 06:21:31
【问题描述】:

一些关于 oAuth 的教程使用 Flask 会话在 Flask 会话中存储状态参数和访问令牌。 (Brendan McCollam's very useful presentation from Pycon is an example)

我了解 Flask 将会话存储在客户端的 cookie 中,并且它们很容易暴露(see Michael Grinberg's how-secure-is-the-flask-user-session)。我自己尝试过,并且能够看到令牌过期等。

在烧瓶会话中存储状态和令牌是否正确,或者它们应该存储在其他地方?

代码示例:

@app.route('/login', methods=['GET'])
def login():
    provider = OAuth2Session(
                   client_id=CONFIG['client_id'],
                   scope=CONFIG['scope'],
                   redirect_uri=CONFIG['redirect_uri'])
    url, state = provider.authorization_url(CONFIG['auth_url'])
    session['oauth2_state'] = state
    return redirect(url)

@app.route('/callback', methods=['GET'])
def callback():
    provider = OAuth2Session(CONFIG['client_id'],
                             redirect_uri=CONFIG['redirect_uri'],
                             state=session['oauth2_state'])
    token_response = provider.fetch_token(
                        token_url=CONFIG['token_url'],
                        client_secret=CONFIG['client_secret'],
                        authorization_response=request.url)

    session['access_token'] = token_response['access_token']
    session['access_token_expires'] = token_response['expires_at']

    transfers = provider.get('https://transfer.api.globusonline.org/v0.10/task_list?limit=1')

    return redirect(url_for('index'))

@app.route('/')
def index():
    if 'access_token' not in session:
        return redirect(url_for('login'))
    transfers = requests.get('https://transfer.api.globusonline.org/v0.10/task_list?limit=1',
                             headers={'Authorization': 'Bearer ' + session['access_token']})
    return render_template('index.html.jinja2',
                           transfers=transfers.json())

【问题讨论】:

  • 有人吗?任何人?我会回答一半......当然我不是唯一一个认为这很重要的人

标签: session flask oauth-2.0 access-token


【解决方案1】:

我认为有些教程为了显示更简单的代码而过度简化了。一个好的经验法则是仅将会话 cookie 用于您的应用程序和用户浏览器必须知道的信息,而不是私人信息。这通常会转化为会话 ID 和可能的其他非敏感信息,例如语言选择。

应用该经验法则,我建议在每个标记旁边使用:

  1. 授权令牌:根据定义,用户和应用程序都知道此数据,因此在 cookie 中公开它不应该是安全问题。但是,一旦您获得访问代码,确实没有必要保留此令牌,因此我建议您不要将其保存在本地或您的 cookie 中。

  2. 访问代码:此数据必须被视为机密,并且只能由您的应用程序和提供商知道。没有理由让任何其他方(包括用户)知道它,因此它不应包含在 cookie 中。如果您需要存储它,请将其本地保存在您的服务器中(可能在您的数据库中,引用您的用户会话 ID)。

  3. CSRF 状态令牌:此数据理想地包含在隐藏表单字段中,并针对服务器端变量进行验证,因此 cookie 似乎是不必要的复杂化。但我不会担心这些数据在 cookie 中,因为它无论如何都是响应的一部分。

请记住,还有诸如烧瓶会话之类的扩展,实际上相同的代码使用服务器端变量而不是 cookie 变量。

【讨论】:

  • 谢谢JavoSN...我一直在寻找这个答案很长一段时间...非常感谢全面的解释。
猜你喜欢
  • 2011-06-14
  • 1970-01-01
  • 2021-01-14
  • 2012-01-18
  • 2011-09-12
  • 2018-05-06
  • 2019-08-08
  • 1970-01-01
  • 2010-12-12
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode