【发布时间】:2012-08-05 08:25:28
【问题描述】:
据我了解,oauth2 不会对请求进行签名,而是依赖于传输层的安全性(通过 https)。这似乎容易受到重放攻击和证书未验证的 ssl 代理攻击(这在客户端应用程序中似乎很常见)。
从这个意义上说,它似乎不像 HMAC-sha256 或类似的东西那样安全。这对于某些应用程序来说可能很好,但对于移动大量资金的应用程序来说,这似乎不够安全。我理解正确吗?
【问题讨论】:
【发布时间】:2012-08-05 08:25:28
【问题描述】:
我必须同意你的看法。在大多数情况下,如果您的用户进行需要更高级别审查的活动(即付款),那么您希望获得更多的安全性,甚至需要一些额外的确认,以确认确实是正确的用户做活动。 OAuth 并没有真正提供额外的安全层,我真的不推荐它用于支付活动。
【讨论】:
-
好的,很高兴知道。感谢您的回复。至于重播,我认为您可以将一个随机数参数固定到常规 oauth2 并检查它的服务器端。对于 ssl 代理攻击,我不确定是否有任何方法可以强制执行证书验证服务器端?这似乎是最大的剩余漏洞。
-
实际上,这个答案似乎表明 https 不容易受到重放攻击:stackoverflow.com/questions/2769992/… 所以也许证书验证才是真正的问题。我想知道是否有任何公司可以很好地解释这一点并帮助客户在他们的 api 文档中验证证书。