请不要再混淆OAuth 2.0和会话管理了
发布时间:2022-07-22 09:05:08 所属栏目:安全 来源:互联网
导读:朋友,您是否和周围许多开发人员一样,时常将OAuth 2.0(以下简称OAuth)与Web会话管理相混淆?您是否因为错误地使用协议和技术栈,而导致各种安全问题呢?本文将和您讨论何时该使用常规的会话管理解决方案,以及何时该使用某种OAuth流。 可见,会话管理通常是指
|
朋友,您是否和周围许多开发人员一样,时常将OAuth 2.0(以下简称OAuth)与Web会话管理相混淆?您是否因为错误地使用协议和技术栈,而导致各种安全问题呢?本文将和您讨论何时该使用常规的会话管理解决方案,以及何时该使用某种OAuth流。 可见,会话管理通常是指:您自己应用的后端和前端之间的通信。而OAuth是指:在您的应用(前端或后端)需要与第三方应用(例如:使用Google/Facebook登录到您自己的应用)的后端通信时,使用Okta/Auth0来管理用户。 通常,我们认为后端往往能够受到应用开发人员的严格管控,值得用户和其他应用程序的信任。当然,后端也可能发生数据泄露和内部威胁。不过,与诸如最终用户电脑上的恶意软件相比,这些安全事件对于应用开发人员来说算是“可控”的。相反,由于前端设备可能会受到社会工程技术、或恶意软件的工具,应用程序人员无法预见性地采取任何措施来缓解或管控此类情况。因此,我们可以简单地认为:在任何应用中,前端都是不受信任的,而后端是受信任的。可见,我们不能够盲目地信任从前端发送的数据,而必须始终验证和“消毒”传入的数据,将风险降至最低。 会话管理决定OAuth 为了说清楚这种依赖关系,让我们假设有两个应用程序:YourApp和OtherApp,它们使用授权代码(Authorisation code)流,来实现彼此通信。为简便起见,我们省去了通过客户端密码、或用于代码交换的证明密钥(Proof Key for Code Exchange,PKCE)等授权代码的步骤。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号