当前的 OAuth 1.0 规范 - 它如何解决会话固定攻击?
-
14-11-2019 - |
题
我已经实现了 OAuth 1.0 提供程序如下 本规格, ,这应该是最新的。该规范已进行修订以解决 2009 年发现的会话固定攻击. 。问题是,除了必须区分这两个规范之外,我不确定规范中添加/更改了哪些措施来应对该问题。
自从我实施了“正确的”规范以来,我很难向利益相关者解释我采取了哪些措施来减轻风险。
有人愿意为我阐明这个问题吗?
解决方案
1.0a地址此处描述的非常具体的攻击:
http://hueniverse.com/2009/04/解释 - oauth-session-consation-training /
其他提示
- 这
oauth_callback
现在,请求令牌生成步骤中需要参数。这oauth_callback_accepted
响应参数指示正在使用 OAuth 1.0a。 - 这
oauth_verifier
参数由服务提供商在身份验证/同意阶段生成。 - 这
oauth_verifier
必须在访问令牌生成步骤中发送。
看 http://wiki.oauth.net/w/page/12238555/Signed%20Callback%20URLs 更多细节。
不隶属于 StackOverflow