朋友,您是否和周围许多开发人员一样,时常将OAuth 2.0(以下简称OAuth)与Web会话管理相混淆?您是否因为错误地使用协议和技术栈,而导致各种安全问题呢?本文将和您讨论何时该使用常规的会话管理解决方案,以及何时该使用某种OAuth流。
在双阳等地区,都构建了全面的区域性战略布局,加强发展的系统性、市场前瞻性、产品创新能力,以专注、极致的服务理念,为客户提供成都做网站、网站设计 网站设计制作专业公司,公司网站建设,企业网站建设,高端网站设计,营销型网站建设,外贸网站建设,双阳网站建设费用合理。
主要区别
总的说来,用户会话管理和OAuth之间的区别主要体现在通信双方之间的信任级别上。
我们在使用用户会话时,通常假定通信中的一方是不可信任的(例如:您应用程序的前端),而另一方是可以信任的(例如:您应用程序的后端)。而在OAuth流中,通信的双方都是受到信任的(例如:您应用程序的后端和第三方应用程序的后端)。当然,在某些OAuth流中,通信的某一方可能不受信任。那么在这种情况下,我们会需要“short lived”握手。下面我们主要讨论的还是双方受信任的情况。
可见,会话管理通常是指:您自己应用的后端和前端之间的通信。而OAuth是指:在您的应用(前端或后端)需要与第三方应用(例如:使用Google/Facebook登录到您自己的应用)的后端通信时,使用Okta/Auth0来管理用户。
让我们以全球贸易为例,OAuth可以被看作是允许国家之间进行贸易的系统,而会话管理则是可以在国家内部进行贸易的系统。无论您是否需要与其他国家/地区交换商品(数据),您始终需要进行本地贸易(我们会在“会话管理决定OAuth”部分详细讨论)。
有关信任
通常,我们认为后端往往能够受到应用开发人员的严格管控,值得用户和其他应用程序的信任。当然,后端也可能发生数据泄露和内部威胁。不过,与诸如最终用户电脑上的恶意软件相比,这些安全事件对于应用开发人员来说算是“可控”的。相反,由于前端设备可能会受到社会工程技术、或恶意软件的工具,应用程序人员无法预见性地采取任何措施来缓解或管控此类情况。因此,我们可以简单地认为:在任何应用中,前端都是不受信任的,而后端是受信任的。可见,我们不能够盲目地信任从前端发送的数据,而必须始终验证和“消毒”传入的数据,将风险降至最低。
会话管理决定OAuth
为了说清楚这种依赖关系,让我们假设有两个应用程序:YourApp和OtherApp,它们使用授权代码(Authorisation code)流,来实现彼此通信。为简便起见,我们省去了通过客户端密码、或用于代码交换的证明密钥(Proof Key for Code Exchange,PKCE)等授权代码的步骤。
YourApp具有如下组件:
OtherApp具有如下组件:
下面,让我们看看不同的访问模式:
(1) YourApp拥有一个后端服务器
(2) YourApp没有后端服务器
访问模式1. a)
如上图所示,其中的一种方法是在前端和后端之间简单地使用会话管理。当然,如果您使用到了诸如Okta或Auth0之类的外部身份管理方案,则可以采用如下方法:
访问模式1. b)
访问模式2. a)
至此,我们不难看出,无论两个应用如何相互通信,都始终需要会话的管理。
令牌的不同类型
正如上文分析中所提到的,Oauth采用了short lived访问令牌和long lived刷新令牌。而会话管理只需要“一次性地使用”刷新令牌(也称为旋转刷新令牌,请参见--
https://tools.ietf.org/html/rfc6819#section-5.2.2.3),以发送并存储在前端。有关会话流的安全性分析,请参见--https://bit.ly/2LoHzTT。
此外,OAuth和会话管理还使用到了不同类型的令牌。在OAuth中,如果OtherApp发出的访问令牌,被用于YourApp的前端和后端之间的通信,则此令牌必须是JWT。据此,YourApp的后端可以验证该令牌,且不必调用OtherApp的后端。实际上,JWT就是为了满足这一确切需求而发明的。
在会话管理中,访问令牌既可以是Opaque(一种长随机字符串),又可以是JWT。它们在具体使用中的优点和缺点,请参见--《你需要知道的用户会话安全都在这里!》一文
总结
OAuth和会话管理之间的核心区别是在信任上。使用会话管理,我们可以在不受信任的一方(前端)和受信任的一方(同一个应用的内部)之间维持长期有效的连接。而使用OAuth,则可以在两个受信方(通常是不同服务的后端)之间,维持长期的、经过身份验证的连接。
分享标题:请别再混淆OAuth2.0和会话管理了
文章源于:http://www.gawzjz.com/qtweb/news5/160455.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联