github_38730134的博客

保护Web应用Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架。Spring Security提供完整的安全性解决方案，能够在Web请求级别和方法调用级别处理身份认证和授权，充分利用依赖注入和面向切面技术。Spring Securigy从两个角度解决安全性问题，使用Servlet规范中的Filter保护Web请求并限制URL级别的访问；使用Spring AOP保护方法调用，借助于对象代理和使用通知，能够确保只有具备适当权限的用户才能访问安全保护的方法理解Spri

OAuth令牌OAuth令牌是什么令牌是OAuth事务的核心。令牌表示的是授权行为的结果：一个信息元组，包括资源拥有者、客户端、授权服务器、受保护资源、权限范围以及其他与授权决策有关的信息OAuth核心规范不对令牌本身做任何规定，使得OAuth能广泛的适用于各种部署场景。令牌可以与授权用户关联或者系统中所有用户关联，也可以不代表任何用户，令牌可以有内部结构，也可以是随机的无意义字符串。对于令牌存储在共享数据库中的情况，当受保护资源接收客户端令牌后会去用户中查找令牌，令牌本身不携带任何信息。对于非共享

常见的OAuth令牌漏洞什么是bearer令牌OAuth规范将bearer令牌定义为一种安全装置，他就有这样的特性：只要当事方拥有令牌，就能使用它，而不管当事方是谁，从技术的角度看，bearer令牌与浏览器的cookie很相似，它们具有相同的基本特性:都使用纯文本字符串不包含密钥或者签名安全模式都建立在TLS基础上它们之间的区别:浏览器使用cookie由来已久，而bearer令牌对于OAuth客户端则是新技术浏览器实行同源策略，这意味着一个域之下的cookie不会被传

常见的授权服务器漏洞会话劫持在授权码许可流程中，攻击者可以通过自己的账号登陆站点，然后篡改重定向URI将其他用户的授权码注入，访问其他受害者的资源。解决方案:客户端不能多次使用同一个授权码，如果一个客户端使用了已经被用过的授权码，授权服务器必须拒绝该请求，并且应该尽可能撤回之前通过授权码颁发的所有令牌将授权码与client_id绑定，在获取令牌时做校验：保证授权码只会颁发给经过身份认证的客户端；如果客户端不是保密客户端，则要确保授权码只会颁发给请求中client_id对应的客户端重定向URL

常见的受保护资源漏洞如何保护资源端点XSS:跨域脚本（XSS）是开发Web应用安全项目（OWASP）的十大安全问题名单中的第三名，是目前最普遍的Web应用安全漏洞。它通过将恶意脚本注入到可信的网站来绕过访问控制机制。因此攻击者可以通过注入脚本来改变Web应用的行为，以达到他们的目的，比如收集数据，让攻击者能够冒充经过身份认证的用户资源服务代码 app.get("/helloWorld", getAccessToken, function(req, res){ if(req

常见的客户端漏洞常规客户端安全OAuth客户端有几种数据是需要保护的。客户端密钥、访问令牌、刷新令牌这些信息需要妥善保管，同时注意不要意外的将这些保密信息泄露到审计日志或其他记录中。除了存储系统上单纯的信息失窃外，OAuth客户端还可能出现其他类型的漏洞针对客户端的CSRF攻击授权码许可和隐式许可类型中推荐使用state参数，OAuth核心规范对该参数的描述如下:客户端用来维护请求与回调之间状态的不透明值。授权服务器在将用户代理重定向回客户端时包含该值。应该使用这个参数，可以防止CSRF（跨域请

现实世界中的OAuth2.0授权许可类型OAuth2.0核心协议定位为一个框架而不是单个协议。通过保持协议的核心概念稳固和支持在特定领域进行扩展，OAuth2.0支持以多种不同方式应用。OAuth2.0最关键的一个变化就是授权许可，OAuth2.0提供多种授权许可类型隐式许可类型隐式许可类型直接从授权端点返回令牌，因此隐式许可类型只能使用前端信道和授权服务器通信，隐式许可流程不可用于获取刷新令牌。在授权服务器授权端点增加如下处理 var getScopesFromForm = functio

构建简单OAuth授权服务器授权服务器是OAuth生态系统中最复杂的组件，它是整个OAuth系统中安全权威中心，只有授权服务器能够对用户进行认证，注册客户端，颁发令牌。OAuth2.0规范制定中已经尽可能将复杂性从客户端和受保护资源转移至授权服务器管理OAuth客户端注册向授权服务器注册客户端信息，可以开发web界面维护客户端信息，也可以初始化。这里我们使用静态注册便于观察学习 var clients = [ { "client_id": "oauth-client-1

构建简单的OAuth受保护资源资源服务器需要从传入的HTTP请求中解析出OAuth令牌，验证令牌，并确定它能用于那些请求解析HTTP请求中的OAuth令牌 var getAccessToken = function(req, res, next){ var inToken = null; var auth = req.headers['authorization']; if(auth && auth.toLowerCase().in

构建OAuth客户端向授权服务器注册OAuth客户端客户端标识符用来标识OAuth客户端，在OAuth协议的多个组件都称其为client_id。在一个给定的授权服务器中，每个客户端的标识符必须唯一，因此客户端标识符总是由授权服务器分配，可以通过开发者门户完成，也可以通过动态客户端注册共享密钥client_secret用于客户端与授权服务器交互时进行身份认证授权码许可类型获取令牌使用授权码许可类型的交互授权形式，有客户端将资源拥有者重定向到授权服务器的授权端点，然后服务器通过redirect_u

OAuth组件OAuth协议概览OAuth事务中两个重要步骤是颁发令牌和使用令牌。一个规范的OAuth事务包含以下事件：资源拥有者希望客户端代表他执行一些操作客户端在授权服务器上向资源拥有者请求授权资源拥有者许可客户端的授权请求客户端接收来自授权服务器的令牌客户端向受保护资源出示令牌OAuth2.0授权许可完整过程OAuth中的角色：客户端、授权服务器、资源拥有者、受保护资源OAuth客户端:代表资源拥有者访问受保护资源的软件，通过OAuth来获取访问权限。客户端不需要理解令牌

OAuth2-简介OAuth2.0是一个授权协议，它允许软件应用代表（而不是充当）资源拥有者去访问资源拥有者的资源。应用向资源拥有者请求授权，然后获得令牌，并用它来访问资源。协议规范OAuth2.0框架能让第三方应用以有限的权限访问HTTP服务，可以通过构建资源拥有者与HTTP服务间的许可交互机制，让第三方应用代表资源拥有者访问服务，或者通过授权给第三方应用，让其代表自己访问服务。凭证共享与凭证盗用共享用户凭证复制用户的凭证并用于登陆另一个服务，客户端直接代表用户访问受保护资源，对于服务是同一个