关于oauth安全

白话认证流程

A）用户打开客户端以后，客户端要求用户给予授权。（比如说你登陆淘宝，通过QQ这个第三方来登录时，这个时候淘宝将你引导至QQ的认证服务器）

B）用户同意给客户端授权。（这个时候在你手机上弹出：是否同意授权给QQ来登录淘宝，点击是，这时会返回一个授权码给淘宝，为什么是返回给淘宝呢？因为第一步中发送的认证服务器中会带有一个重定向url，是淘宝自己的）

C）客户端使用上一步获得的授权，向认证服务器申请令牌access_token。（淘宝拿着这个授权码再去找认证服务器）

D）认证服务器对客户端进行认证以后，确认无误，同意发放令牌。（淘宝取人授权码无误后，发放access_token令牌）

E）客户端使用令牌，向资源服务器申请获取资源。（淘宝拿着令牌就可以访问QQ资源服务器）

F）资源服务器确认令牌无误，同意向客户端开放资源。（QQ资源服务器对比令牌无误后开放资源）

想要使用QQ这个第三方登录，需要提前在服务提供商（QQ）处注册，约定好以下几个东西：

1）应用程序名称(client_id,用于在构建上面B步骤中的请求url，这样QQ才知道是什么网站在自己授权)

2）Client Secret（也是淘宝要给QQ的东西，Client ID谁都知道可以伪造，这东西只有QQ和淘宝知道）

3）应用程序网站(www.xx.com)

4）回调URL(redirect_url)

注册完成后，QQ会给淘宝两个东西

四种授权模式

上面的C、D两个步骤属于授权过程，Oauth2.0提供了四种授权模式：

授权码授权模式（Authorization Code Grant）

隐式授权模式（Implicit Grant）

密码授权模式（Resource Owner Password Credentials Grant）

客户端凭证授权模式（Client Credentials Grant）

授权码模式处理流程

A步骤中，客户端申请认证的URI，包含以下参数：

response_type：表示授权类型，必选项，此处的值固定为"code"

client_id：表示客户端的ID，必选项

redirect_uri：表示重定向URI，可选项

scope：表示申请的权限范围，可选项

state：表示客户端的当前状态，可以指定任意值，认证服务器会原封不动地返回这个值。

GET /authorize?response_type=code&client_id=aaaaaa&state=xyz&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
Host: server.example.com

C步骤中，服务器回应客户端的URI，包含以下参数：

code：表示授权码，必选项。该码的有效期应该很短，通常设为10分钟，客户端只能使用该码一次，否则会被授权服务器拒绝。该码与客户端ID和重定向URI，是一一对应关系。

state：如果客户端的请求中包含这个参数，认证服务器的回应也必须一模一样包含这个参数。

HTTP/1.1 302 Found
Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz

D步骤中，客户端向认证服务器申请令牌的HTTP请求，包含以下参数：

grant_type：表示使用的授权模式，必选项，此处的值固定为"authorization_code"。

code：表示上一步获得的授权码，必选项。

redirect_uri：表示重定向URI，必选项，且必须与A步骤中的该参数值保持一致。

client_id：表示客户端ID，必选项。

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

E步骤中，认证服务器发送的HTTP回复，包含以下参数：

access_token：表示访问令牌，必选项。

token_type：表示令牌类型，该值大小写不敏感，必选项，可以是bearer类型或mac类型。

expires_in：表示过期时间，单位为秒。如果省略该参数，必须其他方式设置过期时间。

refresh_token：表示更新令牌，用来获取下一次的访问令牌，可选项。

scope：表示权限范围，如果与客户端申请的范围一致，此项可省略。

 HTTP/1.1 200 OK
     Content-Type: application/json;charset=UTF-8
     Cache-Control: no-store
     Pragma: no-cache

     {
       "access_token":"2YotnFZFEjr1zCsicMWpAA",
       "token_type":"example",
       "expires_in":3600,
       "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
       "example_parameter":"example_value"
     }

漏洞高发点

• redirect_url处校验不当
  
  此处可能有xss、url跳转，导致用户的code等身份凭证被窃取甚至钓鱼网站进一步窃取用户信息。

• CSRF漏洞
  
  缺少state，没有将code与当前客户端的状态绑定，引发CSRF漏洞，造成账号劫持，比如绑定了别人的微博账号等。
  
  测试流程：

1.确认A步骤中是否带有state，如果没有该参数则存在漏洞
2.准备AB两个账号，A是攻击者，B是受害者，两个都登陆的情况下，当然是不同的浏览器下喽（这里有个场景限制，就是绑定账户的地方才有，比如说我有各淘宝账户，但是要记住账号密码登陆很麻烦，我将他绑定到QQ，以后就可以直接用QQ登陆啦）
3.A点击绑定QQ，然后用打开burp抓包，点击授权，一步一步forward，知道遇到请求中带有授权码的请求，复制该请求后drop掉，因为code一般都是一次性的
4.拿去B账户的浏览器中打开（实际攻击中就是csrf嘛），会发现B账户绑定了A账户的QQ，以后A就可以用自己的QQ登陆B的淘宝了。