当前的OAuth 1.0规范-它如何解决会话固定攻击?
当前的OAuth 1.0规范-它如何解决会话固定攻击?
提问于 2011-05-16 19:48:38
我在this specification之后实现了一个OAuth 1.0提供程序,应该是最新的。修改了该规范以解决session fixation attack that was identified in 2009问题。问题是,除了必须区分两个规范之外,我不确定在规范中添加/更改了哪些措施来响应这个问题。
自从我实现了“正确的”规范后,我很难向利益相关者解释我采取了哪些措施来改善风险。
有人愿意为我解释一下这个问题吗?
回答 2
Stack Overflow用户
回答已采纳
发布于 2011-07-04 13:59:35
1.0a解决了这里描述的一个非常具体的攻击:
Stack Overflow用户
发布于 2016-02-03 09:02:41
- 现在在请求令牌生成步骤中需要
oauth_callback参数。oauth_callback_accepted响应参数指示正在使用OAuth 1.0a。 -
oauth_verifier参数由服务提供商在身份验证/同意阶段生成。 -
oauth_verifier必须在访问令牌生成步骤中发送。
有关更多详细信息,请参阅http://wiki.oauth.net/w/page/12238555/Signed%20Callback%20URLs。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/6016914
复制相关文章
相似问题
腾讯云开发者
