如果 OAuth 的 Access Token 泄漏,是否会影响安全性?

2020-10-29 10:22:52 +08:00
 James369
根据 OAuth 的描述,第三方 App 可以通过 Access Token 去请求资源。
如果有人在网关 /路由器监听,那么 Access Token 不是很容易就泄露了?这样他也可以拿这个 Access Token 去获取相关资源?
如此要如何避免此问题呢
2304 次点击
所在节点    程序员
6 条回复
lff0305
2020-10-29 10:30:13 +08:00
HTTPS,能够保证安全性
当然本地要是信任了某个 ca 发布的不安全根证书或者中木马了就没办法了
James369
2020-10-29 10:33:16 +08:00
@lff0305 我之前看到,有些工具可以直接对 https 进行抓包分析的
owlsec
2020-10-29 10:47:15 +08:00
@James369 抓包分析的前提是信任了伪造的证书。

除非有非常严重的漏洞,采用了 https 的链路传输是安全的。

access_token 都是有过期时间的。有些平台会要求重新登录或者 refresh_token 。OAuth 是一个很安全的体系。
baiyi
2020-10-29 10:56:50 +08:00
这是中间人,跟授权体系本身没有关系
easonHHH
2020-10-29 10:59:56 +08:00
在网关 /路由器监听,包内容也都是加密内容。如果你要解包就做中间人攻击,监听处返回一个自制证书,然后就可以分析你的内容了,为了避免这种情况发生,安全证书都是由可信 CA 机构签发的,证书包括域名等相关信息。如果你访问的网站跟证书信息不一致(比方说你一个 a.com 返回一个 CN:b.com 的证书),或者是非可信 CA 机构签发的证书,浏览器或者都会提示不安全。

工具抓包就是你把自制的根证书信任了
Sapp
2020-10-29 18:30:18 +08:00
你说的这个跟 OAuth 有啥关系?他又不是 OAuth 特有问题,你就算普通登录不还是有这个问题,而且 https 你说的抓包是要安装证书的,你可以搞个抓包软件看看,或者干脆用手机梯子 quanx 、surge,他都会让你装证书才能用 MitM 解密 https 。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/719684

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX