3

我已经按照这个规范实现了一个 OAuth 1.0 提供者,它应该是最新的。该规范进行了修改,以解决2009 年发现的会话固定攻击。问题是,除了必须区分这两个规范之外,我不确定在规范中添加/更改了哪些措施以响应该问题。

由于我实施了“正确”的规范,我很难向利益相关者解释我采取了哪些措施来减轻风险。

有人愿意为我阐明这个问题吗?

4

2 回答 2

5

1.0a 解决了此处描述的非常具体的攻击:

解释 OAuth 会话固定攻击

于 2011-07-04T05:59:35.307 回答
0
  1. oauth_callback现在在请求令牌生成步骤中需要该参数。oauth_callback_accepted指示正在使用 OAuth 1.0a的响应参数。
  2. oauth_verifier参数由服务提供商在身份验证/同意阶段生成。
  3. oauth_verifier必须在访问令牌生成步骤发送。

有关详细信息,请参阅http://wiki.oauth.net/w/page/12238555/Signed%20Callback%20URLs 。

于 2016-02-03T01:02:40.993 回答