在使用 PKCE 的 OAuth 2.0 授权代码流程中，是什么阻止在第一次调用身份验证服务器时拦截代码质询？

2024-01-25

想象一下这次攻击

攻击者拦截对授权服务器的第一次调用，然后进行代码挑战。（图中的步骤1）
攻击者现在使用授权代码拦截来自授权服务器的响应。（图中的步骤2）
然后攻击者可以 POST 授权代码和代码验证程序来获取访问令牌。（步骤3）

Refer to this diagram: flow:

问题

什么可以阻止攻击者拦截对授权服务器的第一次调用？这就是让授权码 + PKCE 比隐式流更安全的目的。
也许调用被拦截并不重要，因为代码挑战已被散列，因此攻击者没有第二次调用所需的代码验证器。但是如果代码挑战没有经过哈希处理怎么办？

PKCE 旨在解决从 URL 泄露访问令牌/授权代码的威胁，与拦截 SSL 流量的攻击者相比，这种威胁相对容易发生：

URL 在地址栏中可见
URL 保存在浏览器历史记录中
在本机平台上，可以注册多个应用程序以使用相同的自定义 URI 方案

也就是说，建议代码挑战是代码验证者的 SHA256 哈希，因此即使攻击者拦截代码挑战，他们也无法在无法反转 SHA256 的情况下完成令牌交换。

另请参阅：PKCE 实际上保护什么？ https://security.stackexchange.com/questions/175465/what-is-pkce-actually-protecting

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

oauth20

OpenIdConnect

pkce

在使用 PKCE 的 OAuth 2.0 授权代码流程中，是什么阻止在第一次调用身份验证服务器时拦截代码质询？的相关文章

参数“ state ”必须在查询字符串中设置，结果我应该进一步做什么

我做了一个智能家居谷歌动作连接网络应用程序与谷歌主页链接并授权我关注了智能家居谷歌的行动那里需要国家什么是状态下面给出的字符串是授权的示例但我不知道状态字符串我从哪里添加状态字符串它的目的是什么 GET https myse
使用 Google Oauth2 客户端访问 API 时 Rails 3.2.3 中出现 SSL 错误

我对 OAuth2 相当陌生我正在尝试使用 Omniauth 和 Google API 客户端通过 Google API 访问用户的 Blogger 帐户我正在使用以下内容轨道3 2 3 红宝石 1 9 3 oauth2 0 8 0
keycloak 令牌自省总是失败并显示 {"active":false}

我有点急于让这件钥匙斗篷发挥作用我可以进行身份验证但由于某种原因我的令牌内省总是失败例如如果我尝试进行身份验证 curl d client id flask api d client secret 98594477 af85 4
Google 云端点（应用程序引擎）+ oauth2 与 android 集成

我正在尝试将谷歌应用程序引擎云端点 API 与 android 集成我已经按照此链接进行了相同的操作无法使用我的服务对象连接到我的谷歌端点 https stackoverflow com questions 29544723 unabl
处理Oauth 2.0-facebook gem错误100：此授权码已被使用

我一直在为我的 Rails 应用程序设置 Facebook 身份验证在测试时使用我的 Facebook 帐户登录后我不断收到此错误 OAuth2 Error error message This authorization code
使用 Cognito 登录 Facebook 时重定向到 URL，但出现错误

我创建了一个用户投票并将 Facebook 连接到它这是 AWS 控制台中的外观我也设置了email作为注册的必需属性 However when I visit my hosted login page and click Contin
如何安全地存储 Discord(OAuth2) 用户的访问令牌？

我正在努力寻找一种安全保存访问令牌的方法我的 Web 应用程序在用户授权应用程序后从 DiscordAPI 检索到该访问令牌我正在为 Discord 机器人创建一个网络界面重要的是不是每个人都可以使用它仅应允许特定 Discord
如何实施刷新令牌轮换？

如果我正确理解了刷新令牌轮换这意味着每次我们请求新的访问令牌时我们也会获得一个新的刷新令牌如果多次使用刷新令牌我们会使某个用户之前使用的所有刷新令牌失效并且用户必须再次执行身份验证过程这是否意味着我们需要将所有刷新令牌所有旧的
OAuth：从 Google App Engine 中启动 Google 计算实例

我有一个 Google App Engine 网络应用程序它运行着我网站的大部分内容然而对于某些功能我需要一台linux机器我希望我的 Google App Engine 应用程序能够在某些事件上自动启动 Google 计算实例
Oauth 2：为什么刷新令牌必须是有状态的？

我正在开发一个基于 Node 的 SPA 应用程序并使用 JWT 进行基于令牌的身份验证目前 jwt 令牌永远不会过期这不太好我希望它过期以提高安全性但我不希望我的用户被迫重新登录这就是为什么我需要刷新令牌所以我正在阅读有关
具有 Azure Active Directory 身份验证的 Jenkins：REST API 访问不适用于不记名令牌

我需要使用 python 代码访问 Jenkins REST API 需要一些有关正确方法的指导我在 apache tomcat 中托管了 jenkins v2 176 1 并启用了 SSL 我已根据以下内容配置了 Azure AD 身份
Keycloak：获取 JSON 格式的授权代码？

我们正在开展一个学生项目我们的目标是实现用户可以通过Keycloak使用x509证书进行授权实际上我们不能继续接收授权代码以将其交换为令牌请求基本上我们发送授权码请求并通过 URL 参数接收授权码但我们更希望接收 JSON 格式
在运行时用Dagger添加Retrofit RequestInterceptor

我正在使用匕首和改装我用 Dagger 注入我的 Retrofit 服务现在我想做一个授权请求来获取 accessToken 之后我想使用请求拦截器来增强我的 api 模块以便将此访问令牌用于将来的请求我的想法是在收到访问令牌后使
使用 Web API AuthorizeAttribute 角色的 Azure AD OAuth 客户端凭据授予流程

Given 我们有 NET Web API 服务它使用以下方式保护对控制器和操作的访问授权属性 https learn microsoft com en us dotnet api system web mvc authorizeattr
ApplicationController 的未定义方法“helper_method”，Rails 5

我正在尝试使用doorkeeper 将oAuth2 0 集成到我的仅rails api 应用程序中但我不断收到此错误 ApplicationController 的未定义方法 helper method 但无法找到解决该问题的明确解决方案
MYSQL 的 Google OAuth 2.0 用户 ID 数据类型

我正在实施 Google OAuth 2 0 并注意到 Google OAuth 返回的唯一用户 ID 是21位数字长的我想大整数 20 足以满足这种需求但我现在看到 Google OAuth 返回的用户 ID 的长度感到困惑关于我应
Angular JS + Node JS + Passport + Spring OAuth2 身份验证/授权

我是 PassportJS 和 AngularJS 的新手我对如何进行此授权有疑问我有由 Oauth2 保护的 Spring REST API 但我必须像这样一起发送用户凭据 http localhost 8080 myapp oaut
ASPNET Core OIDC 关联失败

我在 StackOverflow 上查看了一堆与此类似的类似问题但没有一个解决方案对我有用这个问题快把我逼疯了我与这里的许多类似服务器的主要区别在于负载均衡器后面只有一台服务器因此问题不在于我的请求发送到不同的服务器我已经实现了
为 NFL api 生成访问令牌

NFL 有一个 API 服务 link https api nfl com docs getting started index html https api nfl com docs getting started index html
单击关闭按钮后不显示 Google 一键登录 UI

我正在尝试按照本指南使新的谷歌一键登录工作 https developers google com identity one tap web https developers google com identity one tap web

随机推荐

C# 组合框 GotFocus

我有一个 C ComboBox使用 WPF 我有在以下情况下执行的代码ComboBox s GotFocus被激活问题是GotFocus每次从以下位置进行选择时都会执行事件ComboBox 例如 GotFocus当您第一次点击时执行Com
如何使用 MigLayout 在面板上绘制分隔符

这是一个 MigLayout 新手问题我想知道如何从标签末端跨面板宽度绘制分隔符这是我的示例代码 package com ndh swingjunk import java awt import javax swing import n
获取范围内的所有变量

有没有办法获取当前在 JavaScript 范围内的所有变量虽然大家都回答 No 我知道不是正确的答案但如果你真的需要得到局部变量一个函数有一个受限的方式考虑这个函数 var f function var x 0 console
Wireshark 中不显示 UDP 数据包

我有一个嵌入式码头服务器服务器1 它发送UDP数据包作为触发器来接收来自另一台服务器服务器2 的消息然后 server1 等待来自 server2 的消息然后该消息将被验证并进一步处理通过测试 server1 我发现有时 serv
如何在单击消息上的任意位置时关闭 GROWL 消息？（JSF、Primefaces）

如果用户单击我需要关闭用户界面中的咆哮消息anywhere 在消息上这是必需的因为 Primefaces 中默认咆哮消息的关闭按钮对于用户来说很难找到有办法做到这一点吗通过CSS解决这个问题怎么样 ui growl icon cl
如何使用简单的 HTML DOM 来抓取它 [关闭]

这个问题不太可能对任何未来的访客有帮助它只与一个较小的地理区域一个特定的时间点或一个非常狭窄的情况相关通常不适用于全世界的互联网受众为了帮助使这个问题更广泛地适用访问帮助中心 help reopen questions 我正在尝试
如何在 Rails 中响应通过 AJAX 发出的 HTML 请求

我正在尝试编写一个 Rails 控制器方法该方法将响应正常例如跟随链接和通过 ajax 发出的获取请求正常情况控制器应使用布局以完全修饰的 HTML 进行响应 Ajax 案例控制器应使用模板生成的 HTML 片段进行响应无
使用 jfreechart 创建时间序列

现在我想在 jfreechart 中创建一个时间序列图然而在线示例仅包含使用日月等类的图表所以我想本质上创建一个 XY 折线图然而我遇到的问题是 Jfreechart 没有按照添加数据点的顺序连接数据点此外它也不按照 X
从图库中获取选定的图像到 imageview

我在从图库中选择图像并将其设置到imageview 假设我有两项活动 mainActivity包含画廊按钮和secondactivity含有imageview其中必须显示图像 b1 setOnClickListener new OnClic
当文件存在时，python os.path.exists 报告 False

您好有一个应用程序有时会报告文件不存在即使它存在我正在使用 os path exists 并且该文件位于已安装的网络共享上我使用的是 OSX Yosemite python 2 7 9 并且我拥有该文件的访问权限这是奇怪的事情下
使用 pandas 将每月数据表转换为季节性时间序列

我有一些表格格式的数据其中行是年列是月我想将其转换为 pandas 中的时间序列格式然后按季节平均值对数据进行分组我特别想将冬季定义为 11 月至 3 月并放弃其他所有内容这是我将数据读入表格格式的代码这样您就可以看到发生了
Laravel 自身模型上的父/子关系

我想要获得至少有一个孩子的所有优惠券一张优惠券可以有多个优惠券孩子但任何优惠券只能有一个父母我使用以下模型和调用对其进行设置并且它生成的查询是根据需要的直到这一部分 vouchers parent id vouchers id 想
关于减少分支未命中预测

我在一篇论文中看到一句话将分支转化为数据依赖以避免分支预测错误第6页我想知道如何将代码从分支更改为数据依赖关系这是论文 http www adms conf org p1 SCHLEGEL pdf http www adms co
Bootbox 确认对话框问题

不幸的是文档 Bootbox http paynedigital com 2011 11 bootbox js alert confirm dialogs for twitter bootstrap http paynedigital c
如何在Python中创建元组的元组？

我想结合 A 1 3 5 B 2 4 6 into C 1 2 3 4 5 6 python中有没有一个函数可以做到这一点 Yes tuple zip A B 这就是全部结果如下 Python 2 x 和 3 x 中 gt gt gt t
VSCode 新手：通过 Docker 进行远程 Jest/Node 调试

我最近从 Vim 切换到 VSCode 并且尝试为通过 docker 运行的玩笑测试设置 VSCode 调试调试工作有点如果我想运行玩笑测试并激活断点我需要插入断点通过以下方式开始运行相关的笑话测试vscode jest tes
将本地对象推入列表

我有课 class Invader public Invader Invader public void Init InvaderTypes invadertype CIw2DImage AlienImage void Update flo
修改SQL Server中的XML以添加根节点

首先为了给出这个问题的一些背景知识我正在重写一些当前循环遍历某些 xml 的代码在每个循环末尾插入一个表替换为一个接受 xml 参数的 sp 并在一个 sp 中进行插入继续将 xml 分解到表中主碎片已成功完成但目前其中一列
iOS 7 onchange 事件在 iPad 3+Mini 中被破坏 // 需要解决

请仅在运行 ios 7 的 iPad 上进行测试 iOS 7 似乎不支持 iPad 上 onchange 事件的alert 和confirm 奇怪的是它可以在运行 ios 7 0 的 iPhone 4s 和桌面浏览器上运行但不能在运行
在使用 PKCE 的 OAuth 2.0 授权代码流程中，是什么阻止在第一次调用身份验证服务器时拦截代码质询？

想象一下这次攻击攻击者拦截对授权服务器的第一次调用然后进行代码挑战图中的步骤1 攻击者现在使用授权代码拦截来自授权服务器的响应图中的步骤2 然后攻击者可以 POST 授权代码和代码验证程序来获取访问令牌步骤3 Refer to t

在使用 PKCE 的 OAuth 2.0 授权代码流程中，是什么阻止在第一次调用身份验证服务器时拦截代码质询？

在使用 PKCE 的 OAuth 2.0 授权代码流程中，是什么阻止在第一次调用身份验证服务器时拦截代码质询？ 的相关文章

随机推荐

热门标签

在使用 PKCE 的 OAuth 2.0 授权代码流程中，是什么阻止在第一次调用身份验证服务器时拦截代码质询？的相关文章