Fatal编程技术网
  • php/
  • Php Facebook身份验证示例CSRF

Php Facebook身份验证示例CSRF

php facebook authentication

Php Facebook身份验证示例CSRF,php,facebook,authentication,csrf,Php,Facebook,Authentication,Csrf,在中给出的Facebook身份验证示例试图通过将随机信息分组插入身份验证请求的状态部分来防止CSRF。当auth_请求返回时,代码将进行检查,以确保已随请求返回相同的随机组。这对CSRF有什么影响 守则: <?php $app_id = "YOUR_APP_ID"; $app_secret = "YOUR_APP_SECRET"; $my_url = "YOUR_URL"; session_start(); $code = $_REQUEST["code

在中给出的Facebook身份验证示例试图通过将随机信息分组插入身份验证请求的
状态
部分来防止CSRF。当auth_请求返回时,代码将进行检查,以确保已随请求返回相同的随机组。这对CSRF有什么影响

守则:

<?php 

   $app_id = "YOUR_APP_ID";
   $app_secret = "YOUR_APP_SECRET";
   $my_url = "YOUR_URL";

   session_start();
   $code = $_REQUEST["code"];

   if(empty($code)) {
     $_SESSION['state'] = md5(uniqid(rand(), TRUE)); //CSRF protection
     $dialog_url = "http://www.facebook.com/dialog/oauth?client_id=" 
       . $app_id . "&redirect_uri=" . urlencode($my_url) . "&state="
       . $_SESSION['state'];

     echo("<script> top.location.href='" . $dialog_url . "'</script>");
   }

   if($_REQUEST['state'] == $_SESSION['state']) {
     $token_url = "https://graph.facebook.com/oauth/access_token?"
       . "client_id=" . $app_id . "&redirect_uri=" . urlencode($my_url)
       . "&client_secret=" . $app_secret . "&code=" . $code;

     $response = file_get_contents($token_url);
     $params = null;
     parse_str($response, $params);

     $graph_url = "https://graph.facebook.com/me?access_token=" 
       . $params['access_token'];

     $user = json_decode(file_get_contents($graph_url));
     echo("Hello " . $user->name);
   }
   else {
     echo("The state does not match. You may be a victim of CSRF.");
   }

 ?>
如何确保它们具有相同的“状态”以确保没有CSRF

谢谢

哈希(或状态)由您为每个对web服务(Facebook)的请求生成,并存储在服务器上的会话中。此哈希值随请求一起从您的网站发送到Facebook。Facebook将完全相同的哈希值作为响应上的参数发送回

   MyWebsite   |    Facebook
---------------+-----------------
               |
Generate $hash |
  Store $hash  |
               |
             $hash
    ----------------------->
               |
             $hash
    <-----------------------
               |
  Check $hash  |
您所要做的就是检查在请求之前生成的哈希是否与响应中的哈希匹配

   MyWebsite   |    Facebook
---------------+-----------------
               |
Generate $hash |
  Store $hash  |
               |
             $hash
    ----------------------->
               |
             $hash
    <-----------------------
               |
  Check $hash  |

MyWebsite | Facebook
---------------+-----------------
|
生成$hash|
存储$hash|
|
$hash
----------------------->
|
$hash
散列(或状态)由您为每个对web服务(Facebook)的请求生成,并存储在服务器上的会话中。此哈希值随请求一起从您的网站发送到Facebook。Facebook将完全相同的哈希值作为响应上的参数发送回


   MyWebsite   |    Facebook
---------------+-----------------
               |
Generate $hash |
  Store $hash  |
               |
             $hash
    ----------------------->
               |
             $hash
    <-----------------------
               |
  Check $hash  |


您所要做的就是检查在请求之前生成的哈希是否与响应中的哈希匹配


   MyWebsite   |    Facebook
---------------+-----------------
               |
Generate $hash |
  Store $hash  |
               |
             $hash
    ----------------------->
               |
             $hash
    <-----------------------
               |
  Check $hash  |



MyWebsite | Facebook
---------------+-----------------
|
生成$hash|
存储$hash|
|
$hash
----------------------->
|
$hash

@罗曼:互联网上有很多攻击和预防的例子,谢谢,我已经看过了这些,但是仍然很难弄清楚如果我们在交换中省略state,那么facebook的攻击到底会起什么作用。这完全取决于你对重定向URL的实现。如果可以简单地将值放入查询字符串中以处理登录(以及可能执行的其他操作),那么您应该使用状态检查请求是否来自授权用户source@Roman互联网上有很多攻击和预防的例子,谢谢,我已经看过了这些,但是仍然很难弄清楚如果我们在交换中省略state,那么facebook的攻击到底会起什么作用。这完全取决于你对重定向URL的实现。如果可以简单地将值放入查询字符串中以处理登录(并可能执行其他操作),则应使用状态检查请求是否来自授权来源