当前OAuth 1.0规范-它如何解决会话固定攻击?
我已经实现了OAuth1.0提供程序,它应该是最新的。对规范进行了修订,以解决以下问题:。问题是,除了必须区分这两个规范之外,我不确定规范中添加/更改了哪些措施来应对这个问题 由于我实施了“正确的”规范,我很难向利益相关者解释我采取了哪些措施来降低风险当前OAuth 1.0规范-它如何解决会话固定攻击?,oauth,session-fixation,Oauth,Session Fixation,我已经实现了OAuth1.0提供程序,它应该是最新的。对规范进行了修订,以解决以下问题:。问题是,除了必须区分这两个规范之外,我不确定规范中添加/更改了哪些措施来应对这个问题 由于我实施了“正确的”规范,我很难向利益相关者解释我采取了哪些措施来降低风险 有人愿意为我解释一下这个问题吗?1.0a解决了这里描述的一个非常具体的攻击: 请求令牌生成步骤中现在需要oauth\u callback参数。oauth\u callback\u accepted响应参数指示正在使用oauth 1.0a oau
有人愿意为我解释一下这个问题吗?1.0a解决了这里描述的一个非常具体的攻击:
oauth\u callbackoauth\u callback\u acceptedoauth\u验证器oauth\u验证器有关详细信息,请参阅。该男子自己回答!我从上到下都读过好文章,我真的很理解攻击向量。然而,我在这里可能有点傻——我无法完全理解在1.0和1.0a之间发生了什么变化,从而解决了这个问题。是增加了oauth_验证器吗?是的。为了应对攻击,我们需要添加一些东西,将授权访问的用户绑定到重新调谐到客户端的用户。请注意,验证器充当承载令牌,如果它被攻击者捕获(另一个向量),它仍然可以接管身份验证授权(因此对客户端回调端点使用SSL/TLS)。