Denna artikel är en spegelartikel om maskinöversättning, klicka här för att hoppa till originalartikeln.

Architect_Programmer_Code Jordbruksnätverket»Arkitekt Programmering Teknisk chatt Mobil- och datoranalys av OAuth 2.0 säkerhet och CodeVerifier-mekanism ...
Utsikt: 10415|Svar: 0

Mobil- och datorbaserad OAuth 2.0-säkerhetsanalys och CodeVerifier-mekanism

[Kopiera länk]
Publicerad på 2020-11-28 20:51:48 | | | |
Desktop- och mobilapparna är inbyggda webbläsare i appen för att underlätta hela OAuth 2.0-processen

Processen visas i figuren



OAuth2.0-webben
1) Returnera autentiseringskoden till den specificerade Web redirectUri (denna URI konfigureras av apputvecklaren)
2) För att ändra token måste du skicka clientId och clientSecret för att verifiera klientidentiteten (som erhålls av applikationens backend-tjänst)

Med tanke på ovanstående två punkter,
1) Eftersom inte webbappens omdirigeringsURI-detektering är ogiltig
2) Eftersom det inte finns någon backend-tjänst är klienten Secret inte säker
Då kan attacken vi kan stöta på som visas i figuren nedan, där det kan finnas en skadlig applikation som avlyssnar autentiseringskoden för att skicka ett meddelande till AuthorizationServer för att få token, så att token erhålls utan kundens godkännande till applikationen utan till en annan officiell applikationsauktorisation, vilket uppfyller attackens syfte.



Lösning:

1. Klienten genererar en slumpmässig sträng: kodverifieraren och sparar denna slumpmässiga sträng
code_challenge = transform(code_verifier, [Plain| S256])
Om transformmetoden är ren är kodutmaning ekvivalent med kodverifierare
Om transformmetoden är S256, är kodutmaningen lika med Sha256-hashen för kodverifieraren
2. Ta en kodutmaning till auktorisationskodförfrågan och hur man genererar en kodutmaning. Dessa två är bundna till den auktoriseringskod som servern utfärdar
3. Efter att ha erhållit auktorisationskoden tar klienten med sig den initialt genererade kodverifieraren när auktorisationskoden byts mot Access Token. Servern beräknar kodverifieraren enligt boundtransformmetoden, jämför det beräknade resultatet med bound code-utmaningen och utfärdar en Access Token om den är konsekvent.




Föregående:.NET/C# genererar en CS-fil från en WSDL XML-fil
Nästa:ASP.NET Core (iii) Skapa instanser dynamiskt med hjälp av ActivatorUtilities

Relaterade inlägg
Friskrivning:
All programvara, programmeringsmaterial eller artiklar som publiceras av Code Farmer Network är endast för lärande- och forskningsändamål; Ovanstående innehåll får inte användas för kommersiella eller olagliga ändamål, annars kommer användarna att bära alla konsekvenser. Informationen på denna sida kommer från internet, och upphovsrättstvister har inget med denna sida att göra. Du måste helt radera ovanstående innehåll från din dator inom 24 timmar efter nedladdning. Om du gillar programmet, vänligen stöd äkta programvara, köp registrering och få bättre äkta tjänster. Om det finns något intrång, vänligen kontakta oss via e-post.
Mail To:help@itsvse.com