支持新浪微博登錄的網(wǎng)站們所使用的 OAuth 這項技術(shù)曾經(jīng)有過安全問題:

2009 年 4 月 23 日,OAuth 宣告" />

国产成人精品无码青草_亚洲国产美女精品久久久久∴_欧美人与鲁交大毛片免费_国产果冻豆传媒麻婆精东

15158846557 在線咨詢 在線咨詢
15158846557 在線咨詢
所在位置: 首頁 > 營銷資訊 > 網(wǎng)站運營 > 支持新浪微博登錄的網(wǎng)站會不會泄漏用戶密碼?

支持新浪微博登錄的網(wǎng)站會不會泄漏用戶密碼?

時間:2023-11-27 03:18:01 | 來源:網(wǎng)站運營

時間:2023-11-27 03:18:01 來源:網(wǎng)站運營

支持新浪微博登錄的網(wǎng)站會不會泄漏用戶密碼?: 感謝邀請。必須聲明,我在這方面是徹頭徹尾的初學(xué)者,以下發(fā)言謹(jǐn)供參考。

支持新浪微博登錄的網(wǎng)站們所使用的 OAuth 這項技術(shù)曾經(jīng)有過安全問題:

2009 年 4 月 23 日,OAuth 宣告了一個 1.0 協(xié)議的安全漏洞。該漏洞影響了 OAuth 1.0 核心規(guī)范第 6 節(jié)的 OAuth 的認(rèn)證流程(也稱作 3 階段 OAuth)。于是,發(fā)布了 OAuth Core 協(xié)議 1.0a 版本來解決這一問題。[0]
不過,目前新浪微博開放平臺(以及絕大部分主流開放平臺)使用的是 OAuth 1.0a 版本[1],而不是之前曝出漏洞的 1.0 版本??梢哉f,安全性大為提高。但是,某些桌面客戶端和移動客戶端會使用 xAuth,即一種簡化版的 OAuth 認(rèn)證。因為xAuth依然會獲得用戶明文密碼[2],這部分的安全性我還不了解。

使用 OAuth 進行認(rèn)證和授權(quán)的過程如下所示:



用戶訪問客戶端的網(wǎng)站,想操作用戶存放在服務(wù)提供方的資源。
客戶端服務(wù)提供方請求一個臨時令牌。
服務(wù)提供方驗證客戶端的身份后,授予一個臨時令牌。
客戶端獲得臨時令牌后,將用戶引導(dǎo)至服務(wù)提供方的授權(quán)頁面請求用戶授權(quán)。在這個過程中將臨時令牌和客戶端的回調(diào)連接發(fā)送給服務(wù)提供方
用戶服務(wù)提供方的網(wǎng)頁上輸入用戶名和密碼,然后授權(quán)該客戶端訪問所請求的源。
授權(quán)成功后,服務(wù)提供方引導(dǎo)用戶返回客戶端的網(wǎng)頁。
客戶端根據(jù)臨時令牌從服務(wù)提供方那里獲取訪問令牌。
服務(wù)提供方根據(jù)臨時令牌和用戶的授權(quán)情況授予客戶端訪問令牌。
客戶端使用獲取的訪問令牌訪問存放在服務(wù)提供方上的受保護的資源。[3]
欲知詳情,可以看看如下幾篇文章:

OAuth 認(rèn)證步驟 http://isouth.org/archives/286.html

Twitter、新浪微博、豆瓣我說的 OAuth 認(rèn)證示例 http://isouth.org/archives/293.html

OAuth 認(rèn)證協(xié)議原理分析及使用方法 http://kejibo.com/oauth/

[0]漏洞詳情:http://article.yeeyan.org/view/sakinijino/38693

[1]http://open.weibo.com/wiki/index.php/Oauth#.E6.A6.82.E8.BF.B0

[2]http://open.weibo.com/wiki/XAuth#xAuth.E7.94.B3.E8.AF.B7.E9.9C.80.E6.B1.82

[3]http://zh.wikipedia.org/wiki/OAuth#.E5.AE.89.E5.85.A8

關(guān)鍵詞:泄漏,密碼,用戶,支持

74
73
25
news

版權(quán)所有? 億企邦 1997-2025 保留一切法律許可權(quán)利。

為了最佳展示效果,本站不支持IE9及以下版本的瀏覽器,建議您使用谷歌Chrome瀏覽器。 點擊下載Chrome瀏覽器
關(guān)閉