为什么oauth 2.0规范里 先后两次提交并验证redirect_uri

最新推荐文章于 2025-07-02 15:46:23 发布
原创 最新推荐文章于 2025-07-02 15:46:23 发布 · 9.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#oauth #redirect_uri

OAuth 2.0规范要求在获取access token时验证redirect_uri,以防止授权码被拦截导致的安全风险。redirect_uri是接收authorization code的关键,一旦被篡改,攻击者可能利用code冒充合法用户。验证机制在code被泄露后提供补救,确保redirect_uri与之前记录的一致,保护用户免受session劫持。不同服务商对redirect_uri的管理方式各异,有的仅接受注册时填写的地址,有的允许特定子目录。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

耗子写了篇关于 oauth 的文章,其中第二个bug没有看懂。翻了原文又翻了规范,后来才想通。

原文是 Bug 2. Lack of redirect_uri validation on get-token endpoint 换token(指的是access token)的时候缺少重定向地址的校验。

OAuth 2.0的规范 http://tools.ietf.org/html/rfc6749#section-4.1 也提到必须校验:

(E) The authorization server authenticates the client, validates the
authorization code, and ensures that the redirection URI
received matches the URI used to redirect the client in
step (C).

redirect_uri这个重定向地址是让第三方接收authorization code(授权码) 来换access token的。对于第三方而言,谁给它授权码谁就是合法用户,后续将与之建立http会话回吐用户的信息。所以一旦这个地址被攻击者改了,code就会被拦截,真正的用户被重定向到了攻击者的页面,正常流程因此中断;而攻击者就可以拿着code重新拼装好redirect_uri往浏览器里一贴,无需密码他就成了合法用户,完成了session劫持。

redirect_uri是如此敏感,有个办法可以在它leak(也就是被改掉)之后补救:第三方在换token的时候是拿着用户给的code,加上自己受信的redirect_uri一起提交给服务提供方做验证。如果之前服务提供方在前面返回code的时候,code是基于异常的redirect_uri计算出来的,那么这一步重新校验就可以知道两者不匹配。

Egor在这儿说redirect_uri应该是个常量,看了下各家都严格做了限定。国内的qq豆瓣是固定用第三方注册时填写的地址;google是可以注册时填多个,但必须使用其中一个;github是必须使用注册时的地址,或该地址的子目录(因此给了攻击者机会)。


【漏洞挖掘】——142、 逻辑漏洞之OAuth 2.0认证缺陷刨析
Fly_鹏程万里
07-29 695
我们在浏览到一个网页时经常会遇到需要使用一段第三方社交媒体的账户(Github、Facebook等)登录的情况,而这种大多数都是使用OAuth 2.0框架构建的,关于此项技术之前只是在一些功能站点中作为用户来使用未对此进行深入研究,最近出于对OAuth 2.0的安全评估需求,对OAuth 2.0的身份认证过程和安全脆弱性进行了一个从零到一的梳理以文章方式呈现,本篇文章将着重介绍OAuth身份认证的原理、OAuth 身份认证过程中存在的安全问题以及如何正确使用OAuth进行身份认证。
OAuth2.0理解和用法
喜欢打篮球的普通人
07-30 922
资源的拥有者,通常就是用户,比如登录的用户。
理解OAuth 2.0
05-13 2027
理解OAuth 2.0 作者: 阮一峰 日期: 2014年5月12OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 本文对OAuth 2.0的设计思路和运行流程,做一个简明通俗的解释,主要参考材料为RFC 6749。 一、应用场景 为了理解OAu
微信 oauth2 两次回调
weixin_30794851的博客
05-06 477
场景: logger.Info("f: " + wx.From); logger.Info("c: " + wx.Code); logger.Info("s: " + wx.State); Response.Redirect("https://open.weixin.qq.com/connect/oauth2/authorize?...
OAuth2中的redirect_uri参数的验证规则
最新发布
罗小爬的技术宝书
07-02 869
OAuth2的授权端点支持解析参数, 该参数用于下,客户端接收授权码回调处理的端点。参见spring-security-oauth2-authorization-server中的授权端点实现: 是一个实现了 接口的类,用于验证 OAuth2 授权码请求中的参数。它是 Spring Security OAuth2 框架的一部分,主要负责确保授权请求()的合法性,本文重点关注的验证逻辑。若客户端发起的授权端点请求【不包括】参数:若客户端发起的授权端点请求【包括】参数: 参数在 OAuth2 授权端点中不是强制
oauth2插件开发中的redirect_uri跳转问题
eaglepie的博客
12-22 4395
最新的项目需要用到oauth2插件,自己在xx_oauth_clients添加了一条测试数据,一直出问题,跳转到redirect_uri所转向的网址去了,始终获取不到访问token,百度了很多也不知道啥问题,最后发现了一个 ...
聊聊OAuth2.0授权协议中浏览器重定向redirect地址的作用
欢迎来到《技术探索》,这是一个专注于游戏开发技术的博客。在这里,我们将深入探讨游戏引擎、图形渲染、人工智能、物理模拟等领域的最新技术和最佳实践。无论您是初学者还是经验丰富的开发者,我们都希望为您提供有价值的见解和实用的技巧。
06-07 901
技术定义浏览器重定向(Redirect)就是让你的浏览器自动跳转到另一个网址。用户在A网站点击“用微信/Google登录”,浏览器自动跳到微信/Google的登录页面;登录授权后,微信/Google又把浏览器自动跳回A网站指定的回调地址,带上授权码等参数。浏览器重定向就是让用户的浏览器自动跳转到另一个页面。在OAuth2.0中,它是用户、第三方网站、授权服务器之间安全传递授权信息的桥梁。生活中就像你被引导去不同窗口办理手续,办理完后再被带回原窗口继续操作。下面我用。
OAuth2.0授权码模式实战教程
kkchenjj的博客
07-17 1670
重定向用户至授权服务器:客户端应用将用户重定向到授权服务器的授权端点。用户授权:用户在授权服务器上登录授权客户端应用访问其资源。授权码返回:授权服务器将用户重定向回客户端应用,附带一个授权码。交换访问令牌:客户端应用使用授权码向授权服务器请求访问令牌。
鉴权 OAuth 2.0的实现(Spring_Security_Oauth2
qq_25156781的博客
01-28 3853
可以理解为客户端和服务器之间的一次私密谈话,在一次对话中可能会有多个请求和响应;同时要具有鉴别多个请求是来自同一个客户端的一次对话的功能;用户认证通过后,为了避免用户的每次操作都进行认证,可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
Oauth2.0认证机制
lonely_baby的博客
12-16 1090
OAuth 2.0(Open Authorization 2.0)是一个授权框架,它允许第三方应用程序访问用户在服务提供者上的资源,而无需将用户的用户名和密码直接提供给第三方应用程序。OAuth 2.0 是一种授权机制,不是身份验证机制,它通过授予令牌(Access Token)来授权客户端访问受保护的资源。
微信报错——10003
weixin_30940783的博客
01-16 2374
错误信息 redirect_uri域名与后台配置不一致,错误代码10003 网上的资料也是各种各样,但是不一定就是符合你的,所以现在将我所知道的所有错误信息和解决方法进行汇总,方便大家排查。 我们用的是测试号测试的,错误的原因很简单是appID不正确造成的! 出错了,别心急,找不到正确的解绝方法后,还是先读下官方文档看看,是不是哪没注意到,说不定就发现问题所在...
解决微信公众号oauth2授权redirect两次的办法
zch-兴趣使然-blog
12-07 4229
最近公司开发微信公众号,发现微信oauth2授权重定向服务器url时会请求两次且带着同一个code,仔细考虑解决方案之后想到了两种解决方案,一种是重定向的方法中判断code的有效性若有效即通过code获取openId存入session;另一种就是通过return redirect的方式将生成的openId以参数形式传给重定向的方法中。这贴出第二种方法希望给碰到这种问题的开发友友们一些参考。
oauth2授权码模式下为什么要code换取token
菜鸟的学习笔记
03-21 1161
为什么需要code换取token之胡扯八道
OAuth2疑问解答
代码说-Let code talk
02-20 342
OAuth2的学习,我也是从阮一峰老师的博客中开始的:[url]http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html[/url] 下文中以“该博客”指代阮老师的博客。 但,阮一峰老师的博客似乎忽略了很多细节。 OAuth2的实际应用中,最常见的就是“授权码模式”了。 微博是这种模式,微信也是这种模式。 总结来说,就是简单的二步...
OAuth 漏洞预警 (OAuth平台redirect_uri 漏洞)
帐前卒 专栏
05-20 6250
OAuth 漏洞预警 (OAuth平台redirect_uri 漏洞), 说说如何修补
大话Oauth2.0(二)、标准流程下的Oauth2组件及通信
新栋BOOK
04-30 424
首先祝大家五一节日快乐!Oauth2.0协议的核心内容是,第三方软件如何获取访问令牌,以及如何利用这个访问令牌代表资源拥有者访问受保护的资源。在这篇文...
OAuth2.0协议
zehuawong的博客
05-20 290
微信网页开发-网页授权 具体而言,网页授权流程分为四步: 1、引导用户进入授权页面同意授权,获取code 2、通过code换取网页授权access_token(与基础支持中的access_token不同) 3、如果需要,开发者可以刷新网页授权access_token,避免过期 4、通过网页授权access_token和openid获取用户基本信息(支持UnionID机制) OAuth2.0的安全解析 风险1:redirect_url 回调域名欺骗 服务端必须验证clientid注册的应用与redirect_
使用第三方应用授权时应用调用OAuth一直出现redirect_uri参数错误
热门推荐
wangyan199366的博客
11-24 2万+
出现如题的bug主要是由于可信域名的原因引起的, 第三方应用的可信域名需要与OAuth配置的可信域名一致。 因此需要设置第三方应用的可信域名。 参考: 设置应用信息(第三方授权)
OAuth2.0
03-15
### OAuth 2.0 实现方式、原理、流程与示例 #### 什么是 OAuth 2.0OAuth 2.0 是一种授权框架,允许第三方应用程序代表用户访问受保护资源而无需暴露用户的凭证。它通过定义一系列标准化的协议和流程来实现安全性和灵活性。 --- #### OAuth 2.0 的核心原理 OAuth 2.0 的核心在于将 **身份验证** 和 **授权** 解耦开。其主要目标是让客户端能够获得有限制的访问权限到服务器上的资源,而不必获取用户的密码或其他敏感信息。这一过程依赖于令牌机制(Token-Based Authentication),即通过发放访问令牌(Access Token)给客户端完成授权操作[^1]。 --- #### OAuth 2.0 的基本流程 以下是 OAuth 2.0 的通用授权流程: 1. 客户端请求用户授权。 2. 用户被重定向至授权服务器进行登录确认授权范围。 3. 如果用户同意,则授权服务器返回一个授权码(Authorization Code)或者直接返回访问令牌。 4. 客户端使用该授权码向授权服务器交换访问令牌。 5. 访问令牌随后用于访问受保护资源。 具体流程因不同的授权模式而异,常见的有四种授权模式:隐式模式、密码模式、客户端凭据模式以及授权码模式。 --- #### 授权码模式详解 授权码模式是最常用的一种 OAuth 2.0 授权模式,适用于具有后端的服务端应用。它的特点如下: - 更加安全,因为访问令牌不会直接传递给浏览器。 - 需要两次网络通信才能最终获取访问令牌。 以下是授权码模式的具体流程描述: 1. 客户端引导用户跳转到授权服务器的授权页面。 2. 用户输入凭据通过授权界面批准客户端申请的权限。 3. 授权服务器响应一个临时的授权码,将其发送回客户端指定的回调地址。 4. 客户端携带此授权码向授权服务器发起 POST 请求以换取访问令牌。 5. 成功后,授权服务器会返回访问令牌及相关元数据(如刷新令牌 Refresh Token)。 这种模式特别适合那些拥有自己服务端的应用程序开发场景[^3]。 --- #### 设备授权流程概述 设备授权流程是一种专门为低功率或无内置浏览器设备设计的新颖解决方案,在 IoT 场景下尤为适用。当这些受限设备无法方便地打开网页时,可以通过以下步骤完成授权: 1. 设备提示用户前往特定 URL 输入验证码。 2. 同时,设备周期性轮询授权服务器查询状态更新直到收到成功信号为止。 3. 最终由用户手动介入配合完成整个认证环节。 更多细节可参阅基于 Spring 技术栈构建的实际案例演示项目链接说明部分。 --- #### 示例代码展示 下面提供了一个简单的 Python 脚本来模拟如何利用 `requests` 库调用 API 获取 Access Token 的例子: ```python import requests def get_access_token(client_id, client_secret, authorization_code, redirect_uri, token_endpoint): payload = { 'grant_type': 'authorization_code', 'code': authorization_code, 'redirect_uri': redirect_uri, 'client_id': client_id, 'client_secret': client_secret } response = requests.post(token_endpoint, data=payload) if response.status_code == 200: return response.json().get('access_token') else: raise Exception(f"Error fetching access token: {response.text}") # Example usage (replace placeholders with actual values) token = get_access_token( client_id='your_client_id', client_secret='your_client_secret', authorization_code='auth_code_received_from_server', redirect_uri='http://localhost/callback', token_endpoint='https://example.com/oauth/token' ) print(f'Access Token: {token}') ``` 上述脚本展示了如何通过 Authorization Code 来请求 Access Token 的逻辑结构。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值