当前位置：文江博客话题详情

当前 OAuth 1.0 规范 - 它如何解决会话固定攻击？

发布于 2024-11-07 08:02:20 字数 339 浏览 0 评论 0原文

我已经按照此规范实现了 OAuth 1.0 提供程序，这应该是最新的。该规范已进行修订，以解决2009 年发现的会话固定攻击。问题是，除了必须区分这两个规范之外，我不确定规范中添加/更改了哪些措施来应对该问题。

自从我实施了“正确的”规范以来，我很难向利益相关者解释我采取了哪些措施来减轻风险。

有人愿意为我阐明这个问题吗？

需要登录才能够评论，你可以免费注册一个本站的账号。

污味仙女 2024-11-14 08:02:20

1.0a 解决了此处描述的非常具体的攻击：

节枝 2024-11-14 08:02:20

现在，请求令牌生成步骤中需要 oauth_callback 参数。 oauth_callback_accepted 响应参数指示正在使用 OAuth 1.0a。
oauth_verifier 参数由服务提供商在身份验证/同意阶段生成。
oauth_verifier 必须在访问令牌生成步骤中发送。