Текущая спецификация OAuth 1.0 — как она решает проблему фиксации сеанса?

Question

Я реализовал поставщика OAuth 1.0, следуя эта спецификация, который должен быть последним.Спецификация была изменена с учетом атака фиксации сеанса, обнаруженная в 2009 году..Дело в том, что, если не считать различий между двумя спецификациями, я не уверен, какие меры были добавлены/изменены в спецификации в ответ на проблему.

Поскольку я реализовал «правильную» спецификацию, мне трудно объяснить заинтересованным сторонам, какие меры я принял для снижения рисков.

Кто-нибудь хочет пролить свет на эту проблему для меня?

Answer 1

1.0A обращается к очень конкретной атаке, описанной здесь:

http://hueniverse.com/2009/04/ Объясняя-oauth-session-session-schixation-athation /

Answer 2

1. А oauth_callback Параметр теперь является обязательным на этапе создания токена запроса.А oauth_callback_accepted Параметр ответа указывает, что используется OAuth 1.0a.
2. А oauth_verifier Параметр генерируется поставщиком услуг на этапе аутентификации/согласия.
3. А oauth_verifier должен быть отправлен на этапе генерации токена доступа.

Видеть http://wiki.oauth.net/w/page/12238555/Signed%20Callback%20URLs Больше подробностей.