2. 程式人生 > 實用技巧 >基於Identity Server4的OAuth 2.0授權總結(4)- PKCE in Authorization Code mode

基於Identity Server4的OAuth 2.0授權總結(4)- PKCE in Authorization Code mode

阿新 發佈:2020-08-09

授權碼模式的過程大致是如下圖所示:

在獲取token的時候需要提供如下資訊:

1. code

2. redirect_url,

3. client_id,client secret

第二項和第三項其實是用來對通過code獲取token的client的合法性進行驗證。其中最核心的應該是client secret。通過他可以解決如下問題:

對獲取token的client進行合法性驗證。secret是在Authorization Server上註冊client的時候設定的,只有client自己知道,因此可以對client進行驗證。

這樣的話,即使code因為某種原因洩露了,沒有secret也無法獲取到token。從而提升了安全性。在傳統的Web應用中,token的獲取是發生在後端,因此secret也是儲存在後端。這樣是可行的。但是對於現在比較流行的SPA應用,token的獲取是發生在瀏覽器端,是一個公開的環境。這個方法就不可行了,因為secret不可能儲存在一個公開的環境中。

在這個場景下,就需要用PKCE(Proof Key for Code Exchange)來保證整個過程的安全性了。

PKCE主要是通過在授權的過程中增加了code_challenge和code_verifier兩個元素來對整個流程進行驗證,防止code被第三方擷取的情況。具體流程如下:

這裡面最核心的其實就是在authorize請求中增加了code_challenge引數,在token請求中增加了code_verifier引數。這兩個引數最終都是依賴於一個client生成的隨機字串。

Random String:是一個Client端生成的隨機字串(由字母,數字,- ,. ,_ ,~ 組成)

code_verifier:Random String
code_challenge引數的生成演算法為:BASE64URL-ENCODE(SHA256(ASCII(Random String)))。
過程解析:

1. 在申請授權時(authorize請求),client,生成隨機字串並基於它生成code_challenge傳給authorization server.(這個過程中random string 在網路中不會被暴露,因為對其進行了hash)。

2. authorization server生成授權碼後,會將code_challenge儲存起來,並與授權碼關聯。

3. 在通過授權碼獲取token的過程中,client會將隨機字串(code_verifier)傳給authorization server

4. authorization server會將code_verifier進行與第一步相同演算法進行計算得到新的code_challenge

5. authorization server將第四步中的code_challenge與第一步中的原始code_challenge進行比較,如果相同則認為申請授權的源與用code獲取token的源為同一來源。(即code沒有被第三方擷取而冒用)

實現:
服務端

Identity Server 4預設支援PKCE模式,但是是可選的(就是說client也可以不使用該方式)。如需強制client使用PKCE,只需在定義Client時將Client配置成RequirePkce即可。

new Client
                {
                    ClientId = "js",
                    RequireConsent = false,
                    AllowedGrantTypes = GrantTypes.Code,
                    RequireClientSecret = false,
                    RequirePkce = true,
                    AllowAccessTokensViaBrowser = false,
                    AlwaysIncludeUserClaimsInIdToken = true,
                    RedirectUris = new List<string>{"http://localhost:3000/callback.html"},
                    AllowedScopes = new List<string>{"api", IdentityServerConstants.StandardScopes.OpenId, IdentityServerConstants.StandardScopes.Email, "profile"},
                    PostLogoutRedirectUris = new List<string>{ "http://localhost:3000" }
                },

客戶端

客戶端oidc-client庫預設會採用PKCE,也不需要額外的配置。

總結
1. 傳統Web應用的client secret是儲存在後端,不會被洩露。因而可以用於驗證client,保護code被冒用的情況。對於public client(SPA),用於傳統Web應用的secret方式不再有效。

2. PKCE通過在每個授權請求過程中新增一個隨機secret,達到了了防止授權碼被冒用,同時secret不被洩露。

3. 對於public client, PKCE目前是推薦的認證模式。

相關推薦

基於Identity Server4的OAuth 2.0授權總結4- PKCE in Authorization Code mode

授權碼模式的過程大致是如下圖所示: 在獲取token的時候需要提供如下資訊:

基於Identity Server4的OAuth 2.0授權總結2- Client

上一篇文章總結Authorization Server, 這一篇總結一下Client端的實現。先看一下之前那幅圖。

基於TOP-K的面試題解總結4

16.簡述 Vue 中 watch 和 computed 的區別 watch: 可以執行任何邏輯,比如節流、Ajax非同步資料獲取、監聽等

基於Identity Server4的OAuth 2.0/Open ID授權總結5- Logout

OAuth2.0/OpenID 的Logout包括Authorization Server的Logout和Client的Logout。 Authorization Server的Logout

基於TORCS的自動駕駛學習總結

技術標籤:TORCS自動駕駛強化學習自動駕駛模擬器windowspython 0.寫在最前面   我目前大四,EE轉CS,強化學習方向,啥都不會的菜雞,只有一點C語言和彙編的基礎,也就會一點if else了。準備拿DQN跑個自動駕駛模

基於TOP-K的面試題解總結5

  21.移動端適配有哪些方案? rpx rem,em 百分比 獲取當前瀏覽器視窗寬度高度等資訊

基於TOP-K的面試題解總結3

11.簡述常見非同步程式設計方案 (promise, generator, async) 的原理 非同步操作執行順序: 在Javascript引擎執行緒中,存在著一個主執行緒和一個任務佇列,同步任務會在其主執行緒中執行,而一些非同步操作如set

基於TOP-K的面試題解總結6

27.Javascript 中 == 與 === 的區別是什麼? ==: 兩個值型別相同就進行===比較 型別不相同,就通過型別轉換之後再進行比較

基於TOP-K的面試題解總結8

36.簡述 Javascript 事件冒泡和事件捕獲原理 描述事件觸發時序問題 事件捕獲: 由外到內:從document根節點到觸發事件的那個節點

基於Metronic的Bootstrap開發框架經驗總結4--Bootstrap圖示的提取和利用

在前面的一篇隨筆《基於Metronic的Bootstrap開發框架經驗總結(1-框架總覽及選單模組的處理》介紹了選單模組的處理,主要介紹如何動態從資料庫裡面獲取記錄並構建選單列表。其中選單資訊的圖示樣式,也是從資料庫裡

Spring Boot 2.0 新特性:配置繫結 2.0 全解析

在Spring Boot 2.0中推出了Relaxed Binding 2.0,對原有的屬性繫結功能做了非常多的改進以幫助我們更容易的在Spring應用中載入和讀取配置資訊。下面本文就來說說Spring Boot 2.0中對配置的改進。

Spring Boot 2.0 新特性:新增事件ApplicationStartedEvent

今天繼續來聊Spring Boot 2.0的新特性。本文將具體說說2.0版本中的事件模型,尤其是新增的事件: ApplicationStartedEvent。

python之26中級總結4九大排序

1、氣泡排序 #氣泡排序 def bubbleSort(arr): for i in range(1, len(arr)): for j in range(0, len(arr) - i):

資料結構與演算法知識點總結4各類排序演算法

1. 插入排序 1.1 直接插入排序   直接插入排序的特點: 時空效率: 時間複雜度為O(n^2),空間複雜度為O(1)。最好情況下是元素基本有序,此時每插入一個元素,只需比較幾次而無需移動,時間複雜度為O(n)

Android基礎總結4——廣播接收器

  在Android中的每個應用程式可以對自己感興趣的廣播進行註冊,這樣該程式就只會接收自己所關心的廣播內容,這些廣播可能來自於系統的,也可能來自於其他應用程式的。Android提供了一整套完整的API,允許應用程式自

【K8S】K8S 1.18.2安裝dashboard基於kubernetes-dashboard 2.0.0版本

【K8S】K8S 1.18.2安裝dashboard基於kubernetes-dashboard 2.0.0版本 寫在前面 K8S叢集部署成功了,如何對叢集進行視覺化管理呢?彆著急,接下來,我們一起搭建kubernetes-dashboard來解決這個問題。

K8S 1.20.6安裝dashboard基於kubernetes-dashboard 2.0.0版本

1.檢視pod執行情況 [root@binghe101 ~]# kubectl get pods -A-o wide NAMESPACENAMEREADYSTATUSRESTARTSAGEIPNODENOMINATED NODEREADINESS GATES

基於TOP-K的面試題解總結2

5.    簡述 Javascript 中的防抖與節流的原理並嘗試實現 防抖: 防抖函式 debounce 指的是某個函式在某段時間內,無論觸發了多少次回撥,都只執行最後一次。假如我們設定了一個等待時間 3 秒的函式,在這 3 秒

OAuth 2.0 授權方式講解,規範實踐和應用

基於實踐說規範   網上看了一些OAuth 2.0授權方法,儘管講解的沒有什麼邏輯性錯誤,但是存在一個問題,那就是單純的講解協議規範卻脫離了實際的應用,缺少乾貨,所以才有了這篇文章,內容基於實際業務進行講解,

寫出下面各邏輯表示式的值。設a=3,b=4,c=5 (1a + b > c && b == c 2a || b + c && b - c 3!(a > b) && !c || 1 4!(x = a) && (y = b) && 0 5!(a + b) + c - 1 &

寫出下面各邏輯表示式的值。設a=3,b=4,c=5。 1a + b > c && b == c 2a || b + c && b - c