مواصفات OAuth 1.0 الحالية - كيف تعالج هجوم تثبيت الجلسة؟
-
14-11-2019 - |
سؤال
لقد قمت بتطبيق موفر OAuth 1.0 التالي هذه المواصفات, ، والذي ينبغي أن يكون الأحدث.تم تعديل المواصفات لمعالجة هجوم تثبيت الجلسة الذي تم تحديده في عام 2009.الأمر هو أنني لست متأكدًا من الاضطرار إلى الاختلاف بين المواصفات فيما يتعلق بالمقاييس التي تمت إضافتها/تغييرها في المواصفات استجابةً لهذه المشكلة.
منذ أن قمت بتطبيق المواصفات "الصحيحة"، أجد صعوبة في أن أشرح لأصحاب المصلحة الإجراءات التي اتخذتها لتخفيف المخاطر.
هل يهتم أحد بإلقاء بعض الضوء على هذه القضية بالنسبة لي؟
المحلول
نصائح أخرى
- ال
oauth_callback
المعلمة مطلوبة الآن في خطوة إنشاء رمز الطلب.الoauth_callback_accepted
أشارت معلمة الاستجابة إلى أنه يتم استخدام OAuth 1.0a. - ال
oauth_verifier
يتم إنشاء المعلمة بواسطة مزود الخدمة أثناء مرحلة المصادقة/الموافقة. - ال
oauth_verifier
يجب إرسالها في خطوة إنشاء رمز الوصول.
يرى http://wiki.oauth.net/w/page/12238555/Signed%20Callback%20URLs لمزيد من التفاصيل.
لا تنتمي إلى StackOverflow