OAuth 2.0安全最佳当前实践

2020-05-05 23:54:22

Web授权协议T.LodderstedtInternet-Draft yes.com包含状态:最佳当前实践J.Bradley Expires:2020年10月7日Yubio A.Labunets D.Fett yes.com 2020年4月5日OAuth 2.0安全最佳当前实践草案-IETF-OAuth-Security-Themes-15摘要本文档描述了OAuth 2.0的最佳当前安全实践。它更新和扩展了OAuth 2.0安全威胁模型,以纳入自OAuth 2.0发布以来收集的实际经验,并涵盖了由于OAuth 2.0的更广泛应用而带来的新威胁。本备忘录的状态本互联网草案完全符合BCP 78和BCP 79的规定。互联网草案是互联网工程任务组(IETF)的工作文件。请注意,其他小组也可以将工作文件作为互联网草稿分发。目前的互联网草稿列表在https://datatracker.ietf.org/drafts/current/.。互联网草案是有效期最长为6个月的草案文件,可随时更新、替换或被其他文件淘汰。使用互联网草稿作为参考材料或将其作为正在进行的工作以外的引用是不合适的。本互联网草稿将于2020年10月7日到期。版权所有(C)2020 IETF Trust和指定为文档作者的人员。版权所有。本文件受BCP78和IETF Trust关于IETF文件(https://trustee.ietf.org/许可证信息)的法律规定的约束,自本文件发布之日起生效。请仔细阅读这些文档,因为它们描述了您的权利Lodderstedt等人。2020年10月7日到期[第1页]。

互联网-草案OAuth-安全-主题2020年4月以及与本文档相关的限制。本文档中提取的代码组件必须包括简化的BSD许可文本,如信托法律规定的第4.e节所述,并且如简化的BSD许可中所述不提供担保。目录1.简介。。。。。。。。。。。。。。。。。。。。。。。。3 1.1.。结构。。。。。。。。。。。。。。。。。。。。。。。。4 1.2.。约定和术语。。。。。。。。。。。。。。。4.建议。。。。。。。。。。。。。。。。。。。。。。。5 2.1.。保护基于重定向的流。。。。。。。。。。。。。5 2.1.1。授权码授予。。。。。。。。。。。。。。6 2.1.2。隐含的授予。。。。。。。。。。。。。。。。。。。6 2.2.。令牌重放防止。。。。。。。。。。。。。。。。。7 2.3.。访问令牌权限限制。。。。。。。。。。。7 2.4.。资源所有者密码凭据授予。。。。。。。。8 2.5.。客户端身份验证。。。。。。。。。。。。。。。。。。8 2.6.。其他建议。。。。。。。。。。。。。。。。。。8 3.更新的OAuth 2.0攻击者模型。。。。。。。。。。。。9 4.攻击及减刑。。。。。。。。。。。。。。。。。。。11 4.1.。重定向URI验证不足。。。。。。。。。。11 4.1.1。重定向授权代码授予上的URI验证攻击。。。。。。。。。。。。。。。。。。。。。。。。11 4.1.2。重定向隐式GRANT上的URI验证攻击。。13 4.1.3.。对策。。。。。。。。。。。。。。。。。。。14 4.2.。通过Referer标头泄露凭据。。。。。。。。。15 4.2.1。从OAuth客户端泄漏。。。。。。。。。。。。15 4.2.2。从授权服务器泄漏。。。。。。。。15 4.2.3。后果。。。。。。。。。。。。。。。。。。。。16 4.2.4.。对策。。。。。。。。。。。。。。。。。。。164.3.。通过浏览器历史记录泄露凭据。。。。。。。。。17 4.3.1.。浏览器历史记录中的授权码。。。。。。。。17 4.3.2。浏览器历史记录中的访问令牌。。。。。。。。。。。17 4.4.。混杂的攻击。。。。。。。。。。。。。。。。。。。。。18 4.4.1。攻击描述。。。。。。。。。。。。。。。。。18 4.4.2。对策。。。。。。。。。。。。。。。。。。。204.5。授权码注入。。。。。。。。。。。。。。21 4.5.1。攻击描述。。。。。。。。。。。。。。。。。21 4.5.2。讨论。。。。。。。。。。。。。。。。。。。。。22 4.5.3。对策。。。。。。。。。。。。。。。。。。。23 4.5.4。限制。。。。。。。。。。。。。。。。。。。。。244.6.。访问令牌注入。。。。。。。。。。。。。。。。。24 4.6.1。对策。。。。。。。。。。。。。。。。。。。25 4.7.。跨站点请求伪造。。。。。。。。。。。。。。。25 4.7.1。对策。。。。。。。。。。。。。。。。。。。25 4.8。资源服务器的访问令牌泄漏。。。。。。。25 4.8.1。假冒资源Lodderstedt等人的访问令牌网络钓鱼。2020年10月7日到期[第2页]。

互联网-草案OAuth-安全-主题2020年4月服务器。。。。。。。。。。。。。。。。。。。。。。。26 4.8.2.。受损的资源服务器。。。。。。。。。。。。。31 4.9.。打开重定向。。。。。。。。。。。。。。

Internet-草案OAuth-security-主题2020年4月3.更新的OAuth 2.0攻击者模型在[RFC6819]中,列出了一个攻击者模型,该模型描述了必须保护OAuth部署免受攻击的攻击者的能力。在以下内容中,此属性。

..