oauth授权协议的原理

 

http://oauth.net/2/ 协议的原文。原来是1.0版本,现在是2.0版本了

 

https://ruby-china.org/topics/15396

https://blog.yorkxin.org/posts/2013/09/30/oauth2-1-introduction/

通俗解释:

http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

 

要解决的问题:

 

 

获取授权。每次登录,都要让用户进行授权。

 

 现实中的例子,只有用户同意授权给妈妈网,腾讯才发放一个令牌给妈妈网,妈妈网凭借这个令牌去腾讯获取用户的信息。

 

那么就意味着说,令牌的生成规则要跟用户和妈妈网的信息绑定关系。

 

奇怪,如果这个令牌被泄漏呢?别人也可以凭借这个令牌拿到信息啊。现实生活中,别人即便拿到你的令牌(票券),的确是可以去通行

 

但是现实生活中发现了这个漏洞后,会增加一些安排判断,比如车票,别人就算偷到,捡到车票也不能去乘车,还要比对一下是否与身份证号码匹配。

 

除非你拿到对方的身份证了。这样把安全系数提高。发生的概率就会减少。就算你拿到对方的身份证,有时候还会看看你本人样子是否与身份证照片相差很大。

 

在我们这一层,你在url中是可以看到key,没错。但是你得同时拿到密钥才行。需要密钥对数据进行签名的。签名失败是不允许访问的。

 

 

腾讯的微信是这样子:

1、用户授权后,则生成一个临时性的code返回给客户端

code如何生成的呢?参考了oauth2.0协议

 

该码与客户端ID和重定向URI,是一一对应关系。

 

客户端id。重定向的uri,是早就预定义好了。

 

请求腾讯去获取code的时候,会带两个关键性的参数:腾讯的appid(就是oauth2.0协议中的客户端id)、redirect_uri(腾讯要回跳回来的地址)

 

现在思考:为什么要验证redirect_uri是否与后台填写的域名一致呢。其实这样可以增加安全性。

 

我只会重定向到指定的url去。这样会更加安全。不会重定向到攻击者指定的url去。

qq登录的时候,还为了更加安全,做全路径判断了。以前只是同一个域名下即可了。后来为了安全。必须后台填写完全相同的url地址。

 

比如后台配置必须是这样的完整url: www.abc.com/qqlogin/callback.php

 

是域名www.abc.com是不行,以前是可以的。

 

那么会完全验证这个url是否一致。否则就拒绝掉。

 

这对于passport的参考意义:所有接入passport的子应用,我是不是可以限制回调地址呢?限制在指定域名下就可以。

 

目前来看,还不需要这样子做。没有遇到问题?

 

 

2、凭借appid和临时性的code去获取access_token

 

 

3、凭借access_token和用户的openid去获取用户的信息(昵称,头像等等)

 

 

通俗例子:

 

现在想要实现qq登录。

一种办法是:让用户把对方的帐号和密码发给a网站,让a网站去登录qq。那这样就不安全了,因为密码不能泄漏给这些网站。

 

把帐号和密码直接给a网站,a网站就能获取到qq的所有信息的权力了。这样子不安全。

 

现在明白原因了,为什么要设计一个用户的access_token,在每个网站不同。就是为了安全性。假设一个用户的access_token在a网站是一样的,在b网站也是一样的。

 

那么,泄漏了,就麻烦了。因为我可以获取用户的所有资料了。

 

这个access_token可以理解成令牌。

 

我在思考,我应该如何设计这种模式呢?

 

我可以画序列图,这样子清楚解释。

 

 

关键是这个access_token,这样子应用就不需要获取用户的密码了。完全通过这个授权层来实现登录。

 

我觉得code 与access_token是建立了一个映射关系的。

 

access_token则是与用户的openid建立了映射关系的。

 

access_token  openid(根据appid和qq进行生成)

 

 

其实我在返回ticket的时候,完全可以增加一个字段expire,表示过期时间。这样子他们自己可以根据去刷新自己的cookie时长?

 

子应用和passport系统登录时间不一致,的确会导致一些用户体验不好。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

靠近大家的习惯。oauth2.0这样的模式去。

 

获取临时性的code。然后凭借code获取ticket(类似于access_token)。

 

每次请求都必须要带上passport授予的key在url中。

 

 

思考:qq,微信这些实现oauth2.0登录的时候,为什么除了带上screct还要带上appid呢?

 

微信登录,只需要带上appid,就可以访问微信了。关于安全性,不过最终都要经过用户的授权:用户的微信帐号必须是登录状态。即便是登录状态,也要经过用户授权访问。

 

1、跳转到微信的授权登录页面去,不需要screct。因为这个需要用户授权才能操作。不涉及到安全性。之所以要传递一个appid在url中给微信,微信可以知道用户要登录哪个应用而已,方便做提醒"你正在准备登录妈妈网"

 

2、通过code去获取access_token,需要screct的原因是,这里涉及到安全性了。

 

 

为什么要设计一个refresh token?

 

怕access_token过期。

 

为什么要增加这个refresh token去延长access_token的有效期呢?

 

 

客户端:指的就是第三方应用程序。比如网站。

服务商:如何理解呢?通俗点理解呢。

资源所有者:指用户。这些资源是用户的,比如个人信息,保存的资料都是用户的。

 

 

 

 

 

 

state 用于保持请求和回调的状态,授权请求后原样带回给第三方。该参数可用于防止csrf攻击(跨站请求伪造攻击),建议第三方带上该参数,可设置为简单的随机数加session进行校验

 

 

 

 

这个state指是可以网站自己设置的参数,qq那边只是原封不动的返回来。据说这样可以避免csrf攻击。

不太理解。但是可以模仿。oauth官网文档是推荐填写这个的。既然是为了避免csrf攻击,伪造请求。

 

那么state的值就不要是一个固定的值了,因为可以伪造。所以要设置成一个动态变化的值。

比如可以:时间戳+随机数。时间戳是可以伪造的(用其他语言生成一个,时间只要同步就可以)。但是加上随机数。就很难确定是哪个随机数了。因为随机数每次都是变化的,对方就算模拟也很难模拟出恰好生成同一个随机数出来,它是在一个范围内变化的。

 

思考:为什么单独只需要在浏览器重定向(比如腾讯回跳到自己网站)的时候,附加上state返回呢?

其他通过access_token获取用户信息,这些都是服务器之间的通信。很难被截取到。

但是获取临时性code这一步,是在浏览器回跳的时候,别人也可以重定向这个地址,伪造请求。

 

现在要加上一个每次都变化的值会比较安全点。到底是如何攻击的呢?

 

 

 

 

 

passport倒未必需要这样子,我觉得passport调用方是自己的应用。不是外部应用。是自己公司的。是这样的吗?

 

 我现在可以设置一个时间戳,然后缓存在session中。qq会返回过来。如果返回来的值不一样,则提示页面已过期。

 

 

 

 

 

 

 

 

 

 

 这是网页版登录的正式文档:

https://open.weixin.qq.com/cgi-bin/showdocument?action=dir_list&t=resource/res_list&verify=1&lang=zh_CN

 

弄错了,结果跑到公众帐号平台去了:

http://mp.weixin.qq.com/wiki/17/c0f37d5704f0b64713d5d2c37b468d75.html#.E7.AC.AC.E4.B8.80.E6.AD.A5.EF.BC.9A.E7.94.A8.E6.88.B7.E5.90.8C.E6.84.8F.E6.8E.88.E6.9D.83.EF.BC.8C.E8.8E.B7.E5.8F.96code

 

难怪提示,必须要使用客户端打开。

 

实际上过程是:二维码。扫描后就可以进行登录了。

 

 

 

我现在想理解一下,这个openid,unionid是根据什么生成的呢?

如何生成的呢?

 

同一个qq号,每个应用id对应的openid会不同。

 

容易把人给搞晕:access_token

openid之类的。

 

根据access_token才能访问。access_token存在有效期。附加上access_token和openid才能拿到指定用户的信息

 

 

 

 

 

 目前腾讯分配给我们的appid是一个特殊的appid,由于是特殊性。在腾讯的后台查询不到,腾讯并没有单独提供后台给我们,直接修改回调地址。只能联系对方的技术人员修改

 

  关于当时的背景:理解下面知识点

 

   他们对一个用户(qq)的openid值是根据应用的appid生成的,也就是说:QQ号12348899,换一个appid,这个qq号对应的openid值就不同了。

   这样子设计是为了安全考虑。否则不同的应用(比如a公司和b公司的应用),只要知道一个qq号码,就能获取到它的openid去其他地方使用。或者保存到自己的数据库里面。

   现在目的要保证不一样,腾讯每个qq的openid值根据应用不同,而不同的。

 

  妈妈网当时为了解决这样的问题:

    由于32论坛的域名,都是不一样的一级域名,比如www.gzmama.cn、www.cdmama.cn。根据腾讯的qq机制,那么同一个qq用户在这些应用对应的openid值就不一样了。

    想实现32论坛的qq用户,表现得是同一个openid。根据上面对腾讯openid的介绍,腾讯原来的机制无法满足。所以我们当时要求腾讯为我们单独开设了一个appid。

    此appid是一个特殊的appid。把很多的应用合在一起。

 

 

 

 

 

 

 

 

同意授权,实际上就是根据用户的登录信息和appid生成一个code吗?这个code于这些信息是关联的。

 

回跳回来的时候,带这个code,凭借这个code可以获取access_token

 

 

我以前以为,获取到access_token,获取到code会不安全。但实际上授权的模式已经避免密码泄漏的问题了。

 

对方如何才能获取到code,code只是一个桥梁,一个中间作用。用完一次就删除了。

 

关键是对方怎么攻击呢?

 

我们的目的,就是要避免攻击者去获取用户的资源:照片,资料等信息。

 

必须通过用户临时授权,每授权一次才能进一步操作。

 

实际上可以直接返回access_token给客户端。但是不安全。必须要通过code来获取。

 

要隐藏。在服务器之间进行通信,这样很难抓到包。

 

我只要拿到access_token,那么也是可以获取用户信息了。

 

请求的时候带scope参数,这样子授权服务器就知道这个应用打算申请什么权限,这样可以提醒用户:你将要授权进行干嘛,你是否同意。

 

 

在oauth2.0协议中,提供了好几种模式。其中一种模式是直接把access_token放到url中返回给客户端了。这种是简化模式。存在token被泄漏的风险。

 

 

 

 

 

 

        "access_token":"2YotnFZFEjr1zCsicMWpAA",
       "token_type":"example",
       "expires_in":3600,
       "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
       "example_parameter":"example_value"

要有访问令牌access_token。访问令牌有个过期时间。如果要延长,就要使用refresh_token来进行刷新。


access_token有效期是2个小时。refresh_token有效期是30天。


在qq中,Access_Token的有效期默认是3个月,过期后需要用户重新授权才能获得新的Access_Token。


这是php版本的 演示:
http://brentertainment.com/oauth2/lockdin/authorize?response_type=code&client_id=demoapp&redirect_uri=http%3A%2F%2Fbrentertainment.com%2Foauth2%2Fclient%2Freceive_authcode&state=6507ae4073f82d4a228eeef1a5af22d6#

https://github.com/bshaffer/oauth2-demo-php 这是官方提供的各个语言的demo


access_token与openid有什么区别呢?完成的意义有什么不一样呢?


在oautho2.0协议原文中,只有access_token,并没有openid的概念。所以openid只是在此基础上加的一个概念。







延长令牌,实际上是重新生成一个令牌: 重新生成refresh_token和access_token,先判断这个refresh_token是不是合法就行了。



access_token和openid都要实时生成。

使用一种算法来生成。这种算法必须是可逆的。也就是根据access_token能够反解出uid出来。openid的值也是要一样的。

使用一个密钥来生成。

desc算法吗?


这篇文章比较好讲述了openid和access_token的区别

http://desert3.iteye.com/blog/1701626





关于access_token被盗用的问题思考

想想现实生活中的例子,如果你捡到别人的火车票后,直接可以去乘车,以前是没有身份认证。我只认车票就放行。

这个动作就类似于,拿了access_token。

现在我们的思路与车票增加验证是一样的思路,是增加验证,把门槛提高。

具体这样做:你拿到access_token还不够。还需要传递密钥来验证才行。

就算你能偷到access_token还不够,你还得知道密钥才行。

现在明白access_token的有效期不是安全的关键因素。短一点的确是比长更加安全。

安全的核心因素是什么呢?就是增加障碍物,门槛增加。

考虑到用code交换access_token是服务器之间的交互。code是容易被知道,但是密钥很难知道。token交换的时候是服务器之间的通信了。

总结:思路就是增加多几道的验证门槛。



access_token准确的理解应该是这样:

是用户对第三方应用进行授权,授权可以在第三方应用进行登录。比如妈妈网的用户,可以在挂号网站进行登录。这需要用户进行授权才行。

授权过的用户会生成一个access_token,这个access_token要与应用id和用户id进行关联(对应关系存储起来)

这句话理解到了本质;OAuth可以把提供的Token,限制在一个网站特定时间段的的特定资源。





为什么通过access_token就能直接去获取用户的信息呢?根本不需要传递密钥去。

腾讯和微博在这方面是一样的模式。怎么来理解呢?
难道是基于这样一个假设:access_token不能随便被拿到。需要门槛。所以如果你能够拿到,那就说明你是正常的用户。实际上,我觉得如果是这样的理解,这种理解就是不够全面的。



把client_id和client_secret看成就是这个app访问授权中心的帐号和密码,这么来理解会更加通俗点


这里解释了,为什么access_token不要时间太长。

短期token和长效的身份凭据 - 原先的OAuth,会发行一个 有效期非常长的token(典型的是一年有效期或者无有效期限制),在OAuth 2.0中,server将发行一个短有效期的access token和长生命期的refresh token。
这将允许客户端无需用户再次操作而获取一个新的access token,并且也限制了access token的有效期。

通俗点说,access_token是故意设置比较短的时间。然后增加一个拥有长有效期的refresh_token,来延长access_token的。




access_token的生成方式?

最好是不要在 token 字串附上这些信息,即使是 hash 过的也不好,因为这样子就有机会可以假造 token 。要把 token 字串视为一个参照,服务器用这个 token 字串去查到真正的授权内容
也就是说,access_token从安全角度来说,还是要用数据进行存储的。





Access Token 是一個字串,記載了特定的存取範圍 (scope) 、時效等等的資訊。
















两次的access_token:

8576C24EEA96E6AC8B035C375A47C922


8576C24EEA96E6AC8B035C375A47C922



两次的刷新token:

5FC5A99DA4774E7E3569B8BDC1170138

5FC5A99DA4774E7E3569B8BDC1170138



B03CD9A2AF5BA4CDCEA541366EFF995E

52C78B6D6F1D10979B1ED46B5F8709A2


每一次一个code。





通过openid获取用户信息的接口思考


想要获取用户的资料,通过传递openid来获取。但是还不够。如果知道openid被泄漏了。那么就可以获取用户资料,不安全了。

所以还要增加一个门槛,要传递一个access_token。先验证access_token的合法性。access_token带有失效期。是与client_id和user_id关联了。
如果access_token合法,就能查询到对应的client_id和user_id的信息。
那么user_id知道了就方便查询哪个用户信息了。并且,我们还要验证openid的合法性。openid是根据user_id和client_id换成一定算法生成出来的。
所以查询出的client_id和user_id,就能用算法算出openid,假设是openid_b,与传递过来的openid_a对比,是否一致。

不一致,就要报错:openid错误。

总共两个错误:access_token错误和openid错误。



思考:

发现要研究,就把一些东西给研究透彻。然后自己能够回答一些关键性的疑惑。抛出一些问题来,才能解释掉。

比如oauth,不用输入帐号和密码就可以了。

以为有个access_token就可以。

那岂不是没输入帐号和密码就能拿到access_token。




posted @ 2015-06-07 17:44  王滔  阅读(2835)  评论(0编辑  收藏  举报