OAuth 2.0 从零到壹最佳实践

前言

OAuth是Open Authorization的简写。OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAuth认证服务,因而OAuth是开放的。业界提供了OAuth的多种实现如PHP、JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAuth是简易的。

OAuth2是OAuth协议的2.0版本,不向后兼容OAuth1.0。

OAuth 2.0定义了四种授权方式,其中的授权码模式(authorization code)是功能最完整、流程最严密的授权模式。

需要知道的基础概念

首先需要了解几个基本的服务方:

(1) Third-party application:第三方应用程序,又称"客户端"(client),比如禅道

(2)Resource Owner:资源所有者,又称"用户"(user),即登录用户。

(3)User Agent:用户代理,本文中就是指浏览器。

(4)Authorization server:认证服务器,即服务提供商专门用来处理认证的服务器或提供认证服务的提供商,如:赛赋IDaaS服务

(5)Resource server:资源服务器,即服务提供商存放用户生成的资源的服务器。它与认证服务器,可以是同一台服务器,也可以是不同的服务器,一般来说是同一个服务商,如:赛赋IDaaS服务。

这些概念看起来比较复杂,用一张简单的图来示例可能更为清楚些“
OAuth 2.0 从零到壹最佳实践

认证服务方提供的几个地址

请求授权接口:http://www.cipherchina.com:8443/cipher/oauth/authorize,用于获取授权码auth code

请求token接口:http://www.cipherchina.com:8443/cipher/oauth/access_token,通过授权码请求临token

获取用户信息的接口:http://www.cipherchina.com:8443/cipher/oauth/user,通过token向资源服务器请求用户的信息

认证的流程

OAuth 2.0定义了四种授权方式,赛赋IDaaS使了其中的授权码模式(authorization code),也是最完整的流程, 以下为流程图:
OAuth 2.0 从零到壹最佳实践

IDP服务地址赛赋IDaaS

赛赋科技IDaaS提供线上调试的地址,注册后可以快速理解和配置IDP服务。

注册后,添加Oauth应用,配置指导

配置文档

赛赋IDaaS Oauth应用对接配置指导配置指导链接

Oauth协议的安全设计

OAuth2.0协议是目前被运用最为广泛的一个SSO协议,在协议设计中对各类风险和安全问题进行了严格的评估和设计,开发时应当严格遵循OAuth2.0的安全相关的指导。

其中主要的风险点及解决方法如下:

1:严格验证clientId和redirect_url防止回调域名欺骗

赛赋IDaaS严格地验证clientid注册的应用资源与redirect_url是对应的,否则redirect_url会被伪造成第三方欺诈域名,直接导致赛赋IDaaS返回的授权码Code被泄露;

赛赋IDaaS生成的授权码Code仅一次有效,客户端使用一次后立即失效并且有效期很短,以此保证通过redirect_url浏览器回调传输的授权Code被客户端正常消费后不会被再次使用。

2:检查redirect_url以杜绝XSS跨域攻击

比如构造一个认证请求

redirect_uri = http://api.safesso.cn/OAuth?callback=

赛赋IDaaS将对redirect_url进行检查禁止特殊字符输入,并且对redirect_url进行全匹配,不做模糊匹配可有效杜绝XSS攻击;

3:随机的State参数防止CSRF

赛赋IDaaS强制要求应用资源使用state参数。

应用资源每次请求生成唯一字符串在请求中放到state参数中,赛赋IDaaS认证成功返回Code会带上state参数,赛赋IDaaS验证state是否是自己生成的唯一串,可以确定这次请求是有赛赋IDaaS真实发出的,不是黑客伪造的请求。

4:密秘并且随机AccessToken

应用资源通过授权码Code直接与赛赋IDaaS服务端进行交互获取AccessToken,不允许AccessToken传给前端直接使用,防止AccessToken在前端被非法截获;

同时,赛赋IDaaS对AccessToken进行了处理以保证AccessToken的信息不可猜测,以防止被猜测得到。

5:Token颁发和时效管理

Token由赛赋IDaaS随机产生,与应用资源和用户账号绑定;

并且刷新失效机制的设计不允许长期有效的Token存在。

相关实现

Oauth第三方应用如何通过Java实现

如你为第三方应用的开发商,或是研发人员,如何让自己的应用快速支持Oauth 2.0 ,以便于和腾讯、微博等认证服务商实现对接,或是和内部的IAM, IDaaS服务,如赛赋等快速集成。

可以参考OAuth2的应用认证Client实现指引

赛赋IDaaS git项目

https://github.com/CipherChina

联系我们

产品技术交流
OAuth 2.0 从零到壹最佳实践
公众号
OAuth 2.0 从零到壹最佳实践

相关文章:

猜你喜欢
相关资源
相似解决方案
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode