在 oidc-client 中验证状态和随机数

【问题标题】:Validate state and nonce in oidc-client在 oidc-client 中验证状态和随机数
【发布时间】:2020-10-28 08:33:48
【问题描述】:

我的理解是 - oidc-client 生成随机数和状态并将其发送到授权服务器(身份服务器 4)。用于防止CSRF攻击、重放攻击。

State 和 nonce 通过下面的 signinredirect() 示例发送

https://auth.azurewebsites.net/Account/Login?
ReturnUrl=%2Fconnect%2Fauthorize%2Fcallback%3F
client_id%3DLocal%26
redirect_uri%3Dhttp%253A%252F%252Flocalhost%253A4200%252Fauth-callback%252F%26
response_type%3Did_token%2520token%26
scope%3Dopenid%2520profile%2520Api%26
state%3D212ee56661074896aea2b6043d2b8a3f%26
nonce%3D393838b342d543d5910f38cbcab22fa0%26
loginType%3DInternal // my extra params

问题 1 - 回调后状态未定义

状态添加到回调 URL 如下

    http://localhost:4200/auth-callback#id_token=eyJhbG...
    token_type=Bearer
    &expires_in=300&
    scope=openid%20profile%20Api&
    state=155e3e4352814ca48e127547c134144e&
    session_state=DPXW-ijMR4ST9iTSxgMwhsLq7aoknEZOnq3aFDooCFg.ifImJurwkwU6M5lwZXCUuw

State 必须存在于用户中。但就我而言,我在回调方法中看到状态未定义

  async completeAuthentication() {
    await this.manager
      .signinRedirectCallback()
      .then(x => {
        this.user = x;
        this.user.state = x.state; // undefined
        this.user.session_state = x.session_state;
      })
      .catch(errorData => {
        const expired = errorData;
      });

问题--

  1. oidc 在生成后将状态存储在哪里?
  2. 为什么状态未定义?回调后如何检索状态?我猜不是通过 URL(路径)!
  3. oidc 是否在内部验证状态?如何?在哪里?

问题 2 - 随机数

在 id_token 中接收到 nonce 值

created: 1594171097
extraTokenParams: {}
id: "5cc732d3b7fe4a0abdb371be3bda69a6"
nonce: "17c3f171328b4542a282fcbdd43d6fe4"

我还看到有 2-4 个 oidc 用户在登录后存储在本地存储中。为什么这样?他们有相同的用户信息,但不同的 ID 和 nonce。我用户 clearstalestate() 到这些都是在每次新登录或刷新后生成的

问题-

  1. 为什么2-4个用户信息存储在本地存储中?哪种方法生成本地存储用户?
  2. nonce 值是每个会话还是每个用户请求?
  3. 生成后的nonce值存放在哪里?
  4. oidc 是否在内部验证随机数?在哪里?如果不是我应该怎么做?

【问题讨论】:

  • 从上面的响应看起来不错,因为我正在使用 oidc lib 并且没有发现任何问题。我在使用 iFrame 时遇到了类似的问题。您可以调试 oidc-client lib 代码吗?我认为图书馆正在发送状态参数,但它在两者之间迷失了
  • 实际上这对我来说是个问题......我刚刚再次调试,我看不到用户对象的响应状态。我将不得不调试库
  • 另外,nonce 和 state 存储在哪里?当我们执行登录时 - (返回 this.manager.signinRedirect() )我只是重定向到 authserver 页面,没有任何东西保存在存储或 cookie 中。我需要配置一些设置吗?
  • 您使用的 oidc lib 的版本是什么。我认为状态存储在存储中(可能是本地的)。如果您查看最新的 oidc lib,它不会返回状态参数。github.com/IdentityModel/oidc-client-js/wiki
  • 我使用的是 1.9.1 - oidc-client。 “它不返回状态参数” - OK

标签: angular identityserver4 csrf oidc-client-js implicit-flow


【解决方案1】:

所以我已经调试了代码并找到了问题的答案,

  • nonce 值是每个会话还是每个用户请求?

    这不应重复,因此它是根据请求生成的以减轻重放攻击

  • 生成后的nonce值存放在哪里?

    存储在会话存储中

  • oidc 是否在内部验证随机数?在哪里?如果不是我应该怎么做?

    是的,它在内部进行验证。您将不得不查看 oidc-client js。 我从那里提取了一些代码以获得清晰的视图,

      _validateIdToken(state, response) {
     if (!state.nonce) {
         Log.error("ResponseValidator._validateIdToken: No nonce on state");
         return Promise.reject(new Error("No nonce on state"));
     }

     let jwt = this._joseUtil.parseJwt(response.id_token);
     if (!jwt || !jwt.header || !jwt.payload) {
         Log.error("ResponseValidator._validateIdToken: Failed to parse id_token", jwt);
         return Promise.reject(new Error("Failed to parse id_token"));
     }

     if (state.nonce !== jwt.payload.nonce) {
         Log.error("ResponseValidator._validateIdToken: Invalid nonce in id_token");
         return Promise.reject(new Error("Invalid nonce in id_token"));
     }

    }

现在回到状态参数验证。它在 User 对象中不再可用,而是在内部预先验证。 这是来自 oidc-client js 的代码摘录

processSigninResponse(url, stateStore) {
    Log.debug("OidcClient.processSigninResponse");

    var response = new SigninResponse(url);

    if (!response.state) {
        Log.error("OidcClient.processSigninResponse: No state in response");
        return Promise.reject(new Error("No state in response"));
    }

    stateStore = stateStore || this._stateStore;

    return stateStore.remove(response.state).then(storedStateString => {
        if (!storedStateString) {
            Log.error("OidcClient.processSigninResponse: No matching state found in storage");
            throw new Error("No matching state found in storage");
        }

        let state = SigninState.fromStorageString(storedStateString);

        Log.debug("OidcClient.processSigninResponse: Received state from storage; validating response");
        return this._validator.validateSigninResponse(state, response);
    });
}

state 和 nonce 都由 oidc-client 库管理。

【讨论】:

  • "生成后的nonce值存放在哪里?"我认为nonce不在会话存储中,它存储在本地存储中的用户信息中(例如oidc.eds ...)。但是,如果它是每个请求,它应该在我们每次调用 API 时存储,但事实并非如此!另外,如果是每个请求,我在哪里可以看到每个请求中的随机数?
  • OIDC 中有配置本地存储或会话存储的选项。我可以在会话存储中看到我的 nonce 值,我正在使用会话存储。另外要检查请求,您需要在每次发送给 IDP 时调试并检查您的自动化请求根据上面对您问题的回答,如果您查看代码,则不必担心处理这些问题。正如库为您所做的那样,从代码中可以清楚地看出:) 我正在使用这个库,因为它是 1.4
  • 它只是防止授权(登录)请求重放攻击,而不是其他资源 API。我在这里感到困惑。谢谢
【解决方案2】:

可能对授权代码流程 + PKCE 有所帮助。 PR 仍在等待合并和发布。现在只为 response_type=id_token 生成随机数。

如果我们正在处理授权代码流 + PKCE,目前这个库期望 nonce 出现在 state 中并与 Id_token 中出现的 nonce 匹配。

https://github.com/IdentityModel/oidc-client-js/pull/1121

下面是来自 lib 的一些代码行

if (state.nonce && !response.id_token) {
        _Log.Log.error("ResponseValidator._processSigninParams: Expecting id_token in response");
        return Promise.reject(new Error("No id_token in response"));
    }

    if (!state.nonce && response.id_token) {
        _Log.Log.error("ResponseValidator._processSigninParams: Not expecting id_token in response");
        return Promise.reject(new Error("Unexpected id_token in response"));
    }

而且nonce只有在隐式流时才会生成

var oidc = SigninRequest.isOidc(response_type);
var code = SigninRequest.isCode(response_type);

【讨论】:

    猜你喜欢
    • 2018-07-04
    • 2020-10-20
    • 1970-01-01
    • 2018-08-19
    • 2022-10-07
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2015-11-16
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode