Текущая спецификация OAuth 1.0 — как она решает проблему фиксации сеанса?
-
14-11-2019 - |
Вопрос
Я реализовал поставщика OAuth 1.0, следуя эта спецификация, который должен быть последним.Спецификация была изменена с учетом атака фиксации сеанса, обнаруженная в 2009 году..Дело в том, что, если не считать различий между двумя спецификациями, я не уверен, какие меры были добавлены/изменены в спецификации в ответ на проблему.
Поскольку я реализовал «правильную» спецификацию, мне трудно объяснить заинтересованным сторонам, какие меры я принял для снижения рисков.
Кто-нибудь хочет пролить свет на эту проблему для меня?
Решение
1.0A обращается к очень конкретной атаке, описанной здесь:
http://hueniverse.com/2009/04/ Объясняя-oauth-session-session-schixation-athation /
Другие советы
- А
oauth_callback
Параметр теперь является обязательным на этапе создания токена запроса.Аoauth_callback_accepted
Параметр ответа указывает, что используется OAuth 1.0a. - А
oauth_verifier
Параметр генерируется поставщиком услуг на этапе аутентификации/согласия. - А
oauth_verifier
должен быть отправлен на этапе генерации токена доступа.
Видеть http://wiki.oauth.net/w/page/12238555/Signed%20Callback%20URLs Больше подробностей.