[英]Will PKCE implementation resolve problem with dynamic redirect_uri Oauth 2.0 (Code Grant Flow)
我想在 Code Grant 中使用 redirect_uri 作为动态参数,但出于安全原因,我知道 redirect_uri 必须是 static。 如果我实现 PKCE 流程并保留对 client_secret 参数的验证,那么使用动态 redirect_uri 会更安全吗? 在我看来,我将添加一个新的身份验证步骤(使用 PKCE)。
谢谢!
并不真地
PKCE 最初旨在保护身份验证代码流免受 CSRF 和身份验证代码注入攻击。 PKCE RFC-7636在 PKCE RFC 中强烈建议遵循 OAuth 2.0 安全建议。 RFC-6819 第 5.2.3.3 节说明了 static redirect_uri 的原因是为了防止:
动态重定向 uri 向向恶意行为者提供 code_challenge 和身份验证令牌的客户端打开了一个潜在漏洞。
*.example_domain.com
某些网站(例如 Google)使用户能够创建自己的网站作为子域。 恶意行为者可以利用这一点。 它可能并不简单或容易,但它确实暴露了一个漏洞。
子域。*
这更糟。 任何具有匹配子域的站点都是有效的。
在上述任何一种情况下,PKCE 都不会阻止冒充,这可能允许攻击者获取和访问令牌。 它是在令牌端点受信任的环境中防止利用的出色工具。
您的问题被标记为 Openid-Connect。 OIDC 要求将 redirect_uri 预先注册到 OpenID 提供者Openid-connect-core 。 您可以创建一个很长的重定向 uri 白名单以供使用。
Oauth - 使用 pkce 的授权代码流 - 使用 localhost 作为 redirect_uri 的安全隐患
[英]Oauth - authorization code flow with pkce - security implications of using localhost as redirect_uri
当oauth2 authoration代码授予流时,redirect_uri参数是否可选?
[英]when oauth2 authoration code grant flow, redirect_uri parameter is really optional?
Tweepy OAuth 2.0 授权代码流程与 PKCE 本机应用程序 - 我将什么值用于回调 URI/重定向 URL 和网站 ZE6B391A8D2C4D45902A23A8B658?
[英]Tweepy OAuth 2.0 Authorization Code Flow with PKCE Native App - what values do I use for Callback URI/Redirect URL & Website URL?
如何处理移动应用程序的重定向URL-使用PKCE的OAuth 2.0授权代码流
[英]How to handle redirect url for mobile application - OAuth 2.0 Authorization Code Flow with PKCE
OAuth 2.0 授权码授予 + 用于本机移动应用程序的 PKCE
[英]OAuth 2.0 Authorisation Code grant + PKCE for native mobile app
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
