文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
文章/答案/技术大牛
发布
首页
学习
活动
专区
圈层
工具
返回腾讯云官网
社区首页 >问答首页 >如何使用PKCE的授权代码流比没有client_secret的授权代码流更安全

如何使用PKCE的授权代码流比没有client_secret的授权代码流更安全
EN

Stack Overflow用户
提问于 2021-02-04 01:41:14
回答 3查看 1.1K关注 0票数 2

很可能我误解了这个主题,或者在实现过程中遗漏了一些东西。

我浏览了Auth0的文档,以便通过端点而不是SDK使用PKCE创建授权代码流,我看到了如下所示的挑战和眩晕(来自auth0文档):

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
// Dependency: Node.js crypto module
// https://nodejs.org/api/crypto.html#crypto_crypto
function base64URLEncode(str) {
    return str.toString('base64')
        .replace(/\+/g, '-')
        .replace(/\//g, '_')
        .replace(/=/g, '');
}
var verifier = base64URLEncode(crypto.randomBytes(32));

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
// Dependency: Node.js crypto module
// https://nodejs.org/api/crypto.html#crypto_crypto
function sha256(buffer) {
    return crypto.createHash('sha256').update(buffer).digest();
}
var challenge = base64URLEncode(sha256(verifier));

然后,我们将挑战传递给授权端点,如下所示(来自auth0文档):

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
https://YOUR_DOMAIN/authorize?
    response_type=code&
    code_challenge=CODE_CHALLENGE&
    code_challenge_method=S256&
    client_id=YOUR_CLIENT_ID&
    redirect_uri=YOUR_CALLBACK_URL&
    scope=SCOPE&
    audience=API_AUDIENCE&
    state=STATE

并将代码和眩晕器传递到令牌端点,如下所示(同样来自auth0文档):

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
curl --request POST \
  --url 'https://YOUR_DOMAIN/oauth/token' \
  --header 'content-type: application/x-www-form-urlencoded' \
  --data grant_type=authorization_code \
  --data 'client_id=YOUR_CLIENT_ID' \
  --data code_verifier=YOUR_GENERATED_CODE_VERIFIER \
  --data code=YOUR_AUTHORIZATION_CODE \
  --data 'redirect_uri=https://YOUR_APP/callback'

实现是一件相当简单的事情,但我无法理解为什么另一个应用程序不能进行相同的挑战和验证,并模拟我们的应用程序?

我认为我们不使用client_secret作为授权代码流与暴露的client_secret使黑客更容易尝试令牌生成和假模拟我们的应用,为什么他们不能简单地模拟挑战和验证?

openid
auth0
pkce
oauth-2.0
authorization
广告

媒体处理1元起

智能、强大、全面的多媒体数据处理服务,助您提升媒体质量、降低成本,媒体处理套餐低至1元
EN

回答 3

Stack Overflow用户

回答已采纳

发布于 2021-02-04 01:49:39

PKCE的全部内容是验证发起初始身份验证请求的客户端是否与使用授权代码获取真实令牌的客户端相同。

PKCE是一种在身份提供者端实现的保护检查,与要求客户端执行检查的状态/当前安全特性相比较。

PKCE与客户端的秘密毫无关系。

票数 3
EN

Stack Overflow用户

发布于 2021-02-05 03:40:21

如果在应用程序或SPA中使用授权代码流而不使用PKCE,并且有人捕获您从授权服务器接收到的授权代码,则他将能够通过向授权服务器发送授权代码+客户端ID (密钥)和客户端机密,从授权令牌检索访问令牌。因为ID和机密对于应用程序的所有用户/客户端都是相同的。有了访问令牌,他就可以从资源服务器检索用户数据。

如果您在PKCE中使用授权代码流,则攻击者无法使用授权代码,因为他没有验证器。如果他创建自己的验证器和代码挑战,并构建自己版本的应用程序,他还需要让用户使用他的版本的应用程序。只有这样,在用户登录到授权服务器后,质询和验证器才会匹配。如果只捕捉到授权代码,那么生成自己的问题和验证程序是无用的,因为流程是从应用程序创建的挑战开始的,与他创建的验证程序不匹配。

与此相关的问题:Can't an attacker also get the code challenge?

What is PKCE trying to do?

票数 2
EN

Stack Overflow用户

发布于 2021-09-16 09:00:09

事实并非如此。带有PKCE的Auth代码只比隐式流更安全,而隐式流不涉及客户端秘密。

PKCE是一种实现更安全的授权代码流(否则需要客户端机密)的方法。

票数 0
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/66043006

复制
相关文章
在 R 中使用 sf 和 ggplot2 绘制河流地图
https网络安全数据库sql
今年的3月22日是“世界水日”,它关注淡水的重要性,并引起人们对无法获得安全用水的22亿人的关注。今年的重点是地下水,这是为我们的泉水、河流、湖泊和湿地提供食物的宝贵来源。
气象学家
2022/04/18
2.7K0
在 R 中使用 sf 和 ggplot2 绘制河流地图
DW 在onload运行recordset find.html时 发生了以下javascript错误
cssjavascript
这两天打开Dreamweaver CS5,总是弹出一个错误,写着:   在onLoad运行RecordsetFind.htm时,发生了以下JavaScript错误:   在文件“RecordsetFind”中:   findRsisnotdefined   在关闭Dreamweaver的时候也会弹出一个类似的错误, 原因:DW 的配置信息出错了,可能是上次使用非法关闭造成的。   在网上查了一下,找到了解决方法。   方法如下: 删除该目录中对应的Dreamweaver版本文件夹。 xp系统,目录 C:/
deepcc
2018/05/16
1.6K0
Lua组件在Redis中的作用
redis
这种功能允许用户在Redis服务器上执行原子性的操作,从而避免了多次网络往返的开销。
一凡sir
2023/10/03
2790
Lua组件在Redis中的作用
【游戏开发】在Lua中实现面向对象特性——模拟类、继承、多态
游戏lua数据结构面向对象编程存储
  Lua是一门非常强大、非常灵活的脚本语言,自它从发明以来,无数的游戏使用了Lua作为开发语言。但是作为一款脚本语言,Lua也有着自己的不足,那就是它本身并没有提供面向对象的特性,而游戏开发是一项庞大复杂的工程,如果没有面向对象功能势必会为开发带来一定的不便。不过幸好Lua中有table这样强大的数据结构,利用它再结合元表(metatable),我们便可以很方便地在Lua中模拟出类、继承和多态等面向对象编程具有的特性。
马三小伙儿
2018/09/12
3.1K0
Flash在DirectX中的绘制
flash
这里使用的是之前我说过的OLE控件在Direct3D中的渲染方法, 自己不进行swf的解析, 这不现实. 前提条件: COM编程, OLE编程, DirectX编程, ActionScript/Flash(可选). 创建一个ShockwaveFlashObjects::IShockwaveFlash的对象 实现一个IOleClientSite来做为IShockwaveFlash的容器 绘制 通过OleDraw来把GDI的像素数据绘制到DC上(IShockwaveFlash是一个IViewObjec
逍遥剑客
2018/05/23
1.8K0
在windows程序中嵌入Lua脚本引擎--编写自己的Lua库
windows打包luaapiide
        在《在windows程序中嵌入Lua脚本引擎--建立一个简易的“云命令”执行的系统》一文中,我提到了使用Lua的ffi库,可以让我们像写C代码一样写lua程序。这是个非常令我们这些C程序员激动的事。但是我们使用ffi库写出来的程序往往比较大,因为我们可能要声明一些API的原型和结构体。比如我们看luajit的wiki中关于使用ffi调用kernel32的一个例子。(转载请指明出于breaksoftware的csdn博客)如果我们要使用
方亮
2019/02/28
2.2K0
在windows程序中嵌入Lua脚本引擎--编写自己的Lua库
Java中String转换为JSONArray发生错误[通俗易懂]
jsonhttpsjava网络安全编程算法
第一种解析的字符串结构 keywords:[{keyword=关键字,matchType=1},{keyword=关键字,matchType=1}]
全栈程序员站长
2022/08/31
5.8K0
Maven 编译时发生错误说XX是专有API,可能会在未来的版本中删除
编译插件
解决办法也很简单就是,设置编译插件的时候增加一个依赖 <plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-compiler-plugin</artifactId> <version>2.0.2</version> <configuration> <source>1.7</source> <target>1.7</target> </configur
前Thoughtworks-杨焱
2021/12/08
1.4K0
vsCode 打开界面报错,尝试在目标目录创建文件时发生一个错误
ode解决方案权限
目录 一、报错提示: 二、解决方案:  ---- 一、报错提示: 尝试在目标目录创建文件时发生一个错误:拒绝访问 二、解决方案:  拒绝访问的原因就是权限不足导致。 1、找到上图报错提示的 VS Code 安装目录右键点击属性设置权限。 2、添加一个用户 Everyone  3、赋予 Everyone 用户完全控制权限。 
跟着飞哥学编程
2022/12/02
2.5K0
Java中net.sf.json包关于JSON与对象互转的坑
数据处理javajson
  在Web开发过程中离不开数据的交互,这就需要规定交互数据的相关格式,以便数据在客户端与服务器之间进行传递。数据的格式通常有2种:1、xml;2、JSON。通常来说都是使用JSON来传递数据。本文正是介绍在Java中JSON与对象之间互相转换时遇到的几个问题以及相关的建议。 首先明确对于JSON有两个概念: JSON对象(JavaScript Object Notation,JavaScript对象表示法)。这看似只存是位JavaScript所定制的,但它作为一种语法是独立于语言以及平台的。只是说通常情
用户1148394
2018/01/09
3.3K0
Java中net.sf.json包关于JSON与对象互转的坑
R语言在RCT中调整基线时对错误指定的稳健性
编程算法线性回归
众所周知,调整一个或多个基线协变量可以增加随机对照试验中的统计功效。调整分析未被更广泛使用的一个原因可能是因为研究人员可能担心如果基线协变量的影响在结果的回归模型中没有正确建模,结果可能会有偏差。
拓端
2020/07/16
1.7K0
在sublime text 3中配置go
httpgogitgithub开源
1.下载Sublime Text http://www.sublimetext.com/
py3study
2020/01/09
2.3K0
在vscode中go编码发生的问题整理
编程算法goide
使用VsCode进行Go程序开发,我们肯定会碰到一些问题,这些问题有些是IDE的配置问题,有些是下载包的版本不一致问题,本文主要针对在开发过程中碰到的问题做一个简单的回顾和整理。
happlyfox
2021/03/19
1.6K0
在vscode中go编码发生的问题整理
go腾讯云开发者社区
使用VsCode进行Go程序开发,我们肯定会碰到一些问题,这些问题有些是IDE的配置问题,有些是下载包的版本不一致问题,本文主要针对在开发过程中碰到的问题做一个简单的回顾和整理。
happlyfox
2021/03/17
2.4K0
redis中的lua
云数据库 Redis®lua数据结构缓存
前言 最近在看redis的lua,看了官网资料和网上一些文章,整理了lua的相关内容,希望对大家有帮助。 目录 0. redis中运行lua的流程的正常流程 1.redis中的lua概要信息     1.1 lua中调用redis命令     1.2 redis数据结构与lua数据结构对应关系     1.3 EVAL和EVALSHA     1.4 脚本缓存     1.5 脚本命令     1.6 其他约定         1.6.1 全局变量保护         1.6.2 Sele
温安适
2018/05/17
1.8K0
LUA面向对象编程技巧
lua面向对象编程
详文请见 http://ffown.sinaapp.com/?p=11 1. LUA中的对象 我们知道,对象由属性和方法组成。LUA中最基本的结构是table,So 必须用table描述对象的属性。l
知然
2018/03/09
1.6K0
SLua-在Lua中实现Unity中的生命周期
luaunity
Enumerable.Cast(IEnumerable) Method : Casts the elements of an IEnumerable to the specified type. 将一个IEnumerable的元素转换为一个具体的类型。
祝你万事顺利
2019/07/26
1.5K0
点击加载更多

相似问题

当我试图绘制sf::Text对象时SFML中的分割错误

20

SFML2.4.2在绘制sf::Text对象之前获取localBounds

14

绘制sf对象时出错--错误:找不到函数"geom_sf“

12

是否在绘制前查找sf::Text宽度?

11

试图破坏sf::字体时的分割错误

115
添加站长 进交流群

领取专属 10元无门槛券

AI混元助手 在线答疑

扫码加入开发者社群
关注 腾讯云开发者公众号

洞察 腾讯核心技术

剖析业界实践案例

扫码关注腾讯云开发者公众号
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档
查看详情【社区公告】 技术创作特训营有奖征文