我已经按照这个规范实现了一个OAuth 1.0提供程序,这应该是最新的。该规范经过修订,以解决 2009 年发现的会话固定攻击。问题是,除了必须区分两个规范之外,我不确定在规范中添加/更改了哪些措施以响应该问题。
自从我实施了"正确"的规范以来,我很难向利益相关者解释我采取了哪些措施来降低风险。
有人愿意为我阐明这个问题吗?
> 1.0a 解决了下面描述的一个非常具体的攻击:
解释 OAuth 会话固定攻击
- 请求令牌生成步骤中现在需要
oauth_callback参数。oauth_callback_accepted响应参数指示正在使用 OAuth 1.0a。 oauth_verifier参数由服务提供商在身份验证/同意阶段生成。- 必须在访问令牌生成步骤中发送
oauth_verifier。
有关更多详细信息,请参阅 http://wiki.oauth.net/w/page/12238555/Signed%20Callback%20URLs。