開放授權
開放授權(OAuth)是一個開放標準,允許用戶讓第三方應用訪問該用戶在某一網站上儲存的私密的資源(如相片,影片,聯絡人列表),而無需將用戶名和密碼提供給第三方應用。
OAuth允許用戶提供一個權杖,而不是用戶名和密碼來訪問他們存放在特定服務提供者的數據。每一個權杖授權一個特定的網站(例如,影片編輯網站)在特定的時段(例如,接下來的2小時內)內訪問特定的資源(例如僅僅是某一相簿中的影片)。這樣,OAuth讓用戶可以授權第三方網站訪問他們儲存在另外服務提供者的某些特定資訊,而非所有內容。
OAuth是OpenID的一個補充,但是完全不同的服務。
版本與歷史
編輯歷史
編輯OAuth開始於2006年11月,當時布萊恩·庫克正在開發Twitter的OpenID實現。與此同時,社交書籤網站Ma.gnolia需要一個解決方案允許使用OpenID的成員授權Dashboard訪問他們的服務。這樣庫克、克里斯·梅西納和來自Ma.gnolia的拉里·哈爾夫(Larry Halff)與戴維·雷科爾頓會面討論在Twitter和Ma.gnolia API上使用OpenID進行委託授權。他們討論得出結論,認為沒有完成API訪問委託的開放標準。
2007年4月,成立了OAuth討論組,這個由實現者組成的小組撰寫了一個開放協定的提議草案。來自Google的德維特·克林頓獲悉OAuth專案後,表示他有興趣支援這個工作。2007年7月,團隊起草了最初的規範。隨後,Eran Hammer-Lahav加入團隊並協調了許多OAuth的稿件,建立了更為正式的規範。2007年10月, OAuth核心1.0最後的草案發佈了。
2008年11月,在明尼阿波利斯舉行的互聯網工程任務組第73次會議上,舉行了OAuth的BoF[1]討論將該協定納入IETF做進一步的規範化工作。這個會議參加的人很多,關於正式地授權在IETF設立一個OAuth工作群組這一議題得到了廣泛的支援。
2010年4月,OAuth 1.0協定發表為RFC 5849,一個非正式RFC。
OAuth 2.0
編輯OAuth 2.0是OAuth協定的下一版本,但不向下相容OAuth 1.0。OAuth 2.0關注客戶端開發者的簡易性,同時為Web應用、桌面應用、手機和智能裝置提供專門的認證流程。
Facebook的新的Graph API只支援OAuth 2.0[2],Google在2011年3月也宣佈Google API對OAuth 2.0的支援[3],Windows Live也支援OAuth 2.0[4]。
安全
編輯2009年4月23日,OAuth宣告了一個1.0協定的安全漏洞。該漏洞影響了OAuth 1.0核心規範第6節的OAuth的認證流程(也稱作3階段OAuth)。[5]於是,發佈了OAuth Core協定1.0a版本來解決這一問題。[6]
2014年5月,新加坡南洋理工大學一位名叫王晶(Wang Jing)的數學系博士生[7],發現了OAuth和OpenID開源登入工具的"隱蔽重新導向漏洞"[8]。該漏洞首先由CNET報道[9]。騰訊QQ、新浪微博、阿里巴巴淘寶、支付寶、搜狐網、網易、人人網、開心網、亞馬遜、微軟Live、WordPress、eBay、PayPal、Facebook、谷歌、雅虎、領英、VK.com、Mail.Ru、Odnoklassniki.ru、GitHub等大量知名網站受影響[10]。黑客可利用該漏洞給釣魚網站「變裝」,用知名大型網站連結引誘用戶登入釣魚網站,一旦用戶訪問釣魚網站並成功登陸授權,黑客即可讀取其在網站上儲存的私密資訊[11]。該問題被鳳凰網[12],網易[13],搜狐[14],太平洋電腦網[15],人民網[16],CSDN[17]等大量中文網站報道。其實漏洞不是出現在OAuth這個協定本身,這個協定本身是沒有問題的,之所以存在問題是因為各個廠商沒有嚴格參照官方文件,只是實現了簡版。問題的原因在於OAuth的提供方提供OAuth授權過程中沒有對回呼的URL進行校驗,從而導致可以被賦值為非原定的回呼URL,就可以導致跳轉、XSS等問題,甚至在對回呼URL進行了校驗的情況可以被繞過[18]。目前大部分被涉及的網站都已經修復該問題。
OAuth與其他標準
編輯參見
編輯參考文獻
編輯- ^ Birds of a Feather,意味起始會議
- ^ 存档副本. [2010-07-06]. (原始內容存檔於2012-08-07).
- ^ Making auth easier: OAuth 2.0 for Google APIs. [2011-04-03]. (原始內容存檔於2013-07-13).
- ^ Windows Live - OAuth 2.0. [2011-12-23]. (原始內容存檔於2017-07-11).
- ^ OAuth Security Advisory: 2009.1. 2009-04-23 [2009-04-23]. (原始內容存檔於2016-05-27).
- ^ 存档副本. [2010-07-06]. (原始內容存檔於2009-06-30).
- ^ Wang Jing. [2014-11-08]. (原始內容存檔於2014-11-08).
- ^ Covert Redirect. Tetraph. 2014-05-01 [2014-11-08]. (原始內容存檔於2014-11-08).
- ^ Serious security flaw in OAuth, OpenID discovered. CNET. 2014-05-02 [2014-05-09]. (原始內容存檔於2015-11-02).
- ^ Covert Redirect Vulnerability Related to OAuth 2.0 and OpenID. Tetraph. 2014-05-01 [2014-11-08]. (原始內容存檔於2014-10-16).
- ^ 针对近期“博全球眼球OAuth漏洞”的分析与防范建议. 知道創宇. 2014-05-06 [2014-11-08]. (原始內容存檔於2014-11-08).
- ^ 两款互联网登录系统曝出重大漏洞短期内或无法修复. 鳳凰網. 2014-05-03 [2014-11-08]. (原始內容存檔於2014-11-08).
- ^ OAuth与OpenID登录工具曝出重大漏洞. 網易. 2014-05-03 [2014-11-08]. (原始內容存檔於2014-11-08).
- ^ 两款互联网登录系统曝出重大漏洞短期内或无法修复. 搜狐. 2014-05-04 [2014-11-08]. (原始內容存檔於2014-11-08).
- ^ OAuth和OpenID两款登六系统再曝重大漏洞. 太平洋電腦網. 2014-05-04. (原始內容存檔於2014-11-08).
- ^ Oauth2.0协议曝漏洞大量社交网隐私或遭泄露. 人民網. 2014-05-04. (原始內容存檔於2014-11-08).
- ^ OAuth与OpenID登录工具曝出重大漏洞. CSDN. 2014-05-04 [2014-11-08]. (原始內容存檔於2015-07-21).
- ^ 针对近期“博全球眼球OAuth漏洞”的分析与防范建议. FreeBuf. 2014-05-07 [2014-11-08]. (原始內容存檔於2018-04-11).
外部連結
編輯- OAuth.net (頁面存檔備份,存於互聯網檔案館)
- OAuth WG (頁面存檔備份,存於互聯網檔案館) at the IETF
- OAuth Code Library Support (頁面存檔備份,存於互聯網檔案館) on Google Groups
- OAuth Beginner's Guide and Resource Center (頁面存檔備份,存於互聯網檔案館) on Hueniverse
- Google OAuth & Federated Login Research (頁面存檔備份,存於互聯網檔案館)
- Yahoo! OAuth Quick Start Guide
- OAuth安全忠告 (頁面存檔備份,存於互聯網檔案館)
- 基於OAuth安全協定的Java應用編程 (頁面存檔備份,存於互聯網檔案館)
- OAuth Core規範的譯文 (頁面存檔備份,存於互聯網檔案館)
- Covert Redirect (頁面存檔備份,存於互聯網檔案館)
- 鳳凰網 (頁面存檔備份,存於互聯網檔案館)
- 人民網
- Covert Redirect Vulnerability Related to OAuth 2.0 and OpenID
- Serious security flaw in OAuth, OpenID discovered (頁面存檔備份,存於互聯網檔案館)
- 針對近期「博全球眼球OAuth漏洞」的分析與防範建議