@kirill-93

В чем опасность «клиентской» oAuth авторизации?

Соц сети обычно предлагают авторизоваться через них двумя способами:
1) Серверный. Пользователь переходит на соц сеть, оттуда его перекидывает к нам на сайт с неким ключом, дальше мы этот ключ + наш секретный ключ используем, чтоб получить токен.
2) Клиентский. Пользователь переходит на соц сеть, оттуда его перекидывает к нам на сайт с токеном в хэшэ.
Ко второму варианту обычно идет сноска о том, что он небезопасен.
При этом всегда обязательно использование SSL.
В чем опасность второго подхода? Кто и как может перехватить такой токен?
И еще интересно, почему он передается именно в хэшэ? Почему не гет параметром, например?
  • Вопрос задан
  • 484 просмотра
Решения вопроса 2
usdglander
@usdglander
Yipee-ki-yay
нам на сайт с токеном в хэшэ

Любой прокси на пути от вас до сайта видит ваш запрос. Администратор этого прокси может запросто выдернуть ваш хеш, аннулировать ваш запрос и повторить от своего имени. Тогда он авторизуется под вашей учётной записью.
И еще интересно, почему он передается именно в хэшэ? Почему не гет параметром, например?

Скорее всего традиционно сложилось просто.
Ответ написан
Второй вариант достаточно безопасен при правильной реализации, однако там есть много подводных камней. Достаточно подробно они и возможные атаки на клиентский OAuth разобраны в этой статье.

Хэш используется для предотвращения утечек токена наружу, например через Referer страницы.
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы