开放授权
开放授权(OAuth)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,,联系人列表),而无需将用户名和密码提供给第三方应用。
OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站(例如,编辑网站)在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某一相册中的)。这样,OAuth让用户可以授权第三方网站访问他们存储在另外服务提供者的某些特定信息,而非所有内容。
OAuth是OpenID的一个补充,但是完全不同的服务。
版本与历史
历史
OAuth开始于2006年11月,当时布莱恩·库克正在开发Twitter的OpenID实现。与此同时,社交书签网站Ma.gnolia需要一个解决方案允许使用OpenID的成员授权Dashboard访问他们的服务。这样库克、克里斯·梅西纳和来自Ma.gnolia的拉里·哈尔夫(Larry Halff)与戴维·雷科尔顿会面讨论在Twitter和Ma.gnolia API上使用OpenID进行委托授权。他们讨论得出结论,认为没有完成API访问委托的开放标准。
2007年4月,成立了OAuth讨论组,这个由实现者组成的小组撰写了一个开放协议的提议草案。来自Google的德维特·克林顿获悉OAuth项目后,表示他有兴趣支持这个工作。2007年7月,团队起草了最初的规范。随后,Eran Hammer-Lahav加入团队并协调了许多OAuth的稿件,创建了更为正式的规范。2007年10月, OAuth核心1.0最后的草案发布了。
2008年11月,在明尼阿波利斯举行的互联网工程任务组第73次会议上,举行了OAuth的BoF[1]讨论将该协议纳入IETF做进一步的规范化工作。这个会议参加的人很多,关于正式地授权在IETF设立一个OAuth工作组这一议题得到了广泛的支持。
2010年4月,OAuth 1.0协议发表为RFC 5849,一个非正式RFC。
安全
2009年4月23日,OAuth宣告了一个1.0协议的安全漏洞。该漏洞影响了OAuth 1.0核心规范第6节的OAuth的认证流程(也称作3阶段OAuth)。[5]于是,发布了OAuth Core协议1.0a版本来解决这一问题。[6]
2014年5月,新加坡南洋理工大学一位名叫王晶(Wang Jing)的数学系博士生[7],发现了OAuth和OpenID开源登录工具的"隐蔽重定向漏洞"[8]。该漏洞首先由CNET报道[9]。腾讯QQ、新浪微博、阿里巴巴淘宝、支付宝、搜狐网、网易、人人网、开心网、亚马逊、微软Live、WordPress、eBay、PayPal、脸书、谷歌、雅虎、領英、VK.com、Mail.Ru、Odnoklassniki.ru、GitHub等大量知名网站受影响[10]。黑客可利用该漏洞给钓鱼网站“变装”,用知名大型网站链接引诱用户登录钓鱼网站,一旦用户访问钓鱼网站并成功登陆授权,黑客即可读取其在网站上存储的私密信息[11]。该问题被凤凰网[12],网易[13],搜狐[14],太平洋电脑网[15],人民网[16],CSDN[17]等大量中文网站报道。其实漏洞不是出现在OAuth这个协议本身,这个协议本身是没有问题的,之所以存在问题是因为各个厂商没有严格参照官方文档,只是实现了简版。问题的原因在于OAuth的提供方提供OAuth授权过程中没有对回调的URL进行校验,从而导致可以被赋值为非原定的回调URL,就可以导致跳转、XSS等问题,甚至在对回调URL进行了校验的情况可以被绕过[18]。目前大部分被涉及的网站都已经修复该问题。
OAuth与其他标准
参见
- OpenID
- 隐蔽重定向漏洞
参考文献
- Birds of a Feather,意味起始会议
- . [2010-07-06]. (原始内容存档于2012-08-07).
- . [2011-04-03]. (原始内容存档于2013-07-13).
- . [2011-12-23]. (原始内容存档于2017-07-11).
- . 2009-04-23 [2009-04-23]. (原始内容存档于2016-05-27).
- . [2010-07-06]. (原始内容存档于2009-06-30).
- . [2014-11-08]. (原始内容存档于2014-11-08).
- . Tetraph. 2014-05-01 [2014-11-08]. (原始内容存档于2014-11-08).
- . CNET. 2014-05-02 [2014-05-09]. (原始内容存档于2015-11-02).
- . Tetraph. 2014-05-01 [2014-11-08]. (原始内容存档于2014-10-16).
- . 知道创宇. 2014-05-06 [2014-11-08]. (原始内容存档于2014-11-08).
- . 凤凰网. 2014-05-03 [2014-11-08]. (原始内容存档于2014-11-08).
- . 网易. 2014-05-03 [2014-11-08]. (原始内容存档于2014-11-08).
- . 搜狐. 2014-05-04 [2014-11-08]. (原始内容存档于2014-11-08).
- . 太平洋电脑网. 2014-05-04. (原始内容存档于2014-11-08).
- . 人民网. 2014-05-04. (原始内容存档于2014-11-08).
- . CSDN. 2014-05-04 [2014-11-08]. (原始内容存档于2015-07-21).
- . FreeBuf. 2014-05-07 [2014-11-08]. (原始内容存档于2018-04-11).
外部链接
- OAuth.net (页面存档备份,存于)
- OAuth WG (页面存档备份,存于) at the IETF
- OAuth Code Library Support (页面存档备份,存于) on Google Groups
- OAuth Beginner's Guide and Resource Center (页面存档备份,存于) on Hueniverse
- Google OAuth & Federated Login Research (页面存档备份,存于)
- Yahoo! OAuth Quick Start Guide
- OAuth安全忠告 (页面存档备份,存于)
- 基于OAuth安全协议的Java应用编程 (页面存档备份,存于)
- OAuth Core规范的译文 (页面存档备份,存于)
- Covert Redirect (页面存档备份,存于)
- 凤凰网 (页面存档备份,存于)
- 人民网
- Covert Redirect Vulnerability Related to OAuth 2.0 and OpenID
- Serious security flaw in OAuth, OpenID discovered (页面存档备份,存于)
- 针对近期“博全球眼球OAuth漏洞”的分析与防范建议