我正在构建一个返回QR代码的API。
API端点应该得到以下内容: email、client_id和client_secret。
我的API应该检查客户端的id和机密,然后加密电子邮件(和更多的数据),然后从加密的令牌生成QR代码。
我如何保护这个API,这样攻击者就不能给我发一封假邮件了?
我试图了解如何保护OAuth请求免受mitm攻击。当我读到它时,我的服务器似乎需要向OAuth提供程序发出一个https请求,包括这些数据。
我很难理解攻击者如何看不到客户端的id和机密(即使是通过使用者服务器提出的请求)。
希望能得到帮助,谢谢!
发布于 2020-04-14 14:40:56
如何保护OAuth请求免受mitm攻击。
若要在使用OAuth2时防止MITM攻击,必须使用TLS (https)连接。
我如何保护这个API,这样攻击者就不能给我发一封假邮件了?
为了避免伪造电子邮件,您需要验证地址,例如用用户需要交互的一次性代码发送邮件。例如OpenID连接,一种基于OAuth2的认证标准有特殊的权利通知电子邮件是否被验证。
OpenID连接已经定义了额外的索赔,以通知RP关于phone_number和电子邮件声明的验证状态。
https://stackoverflow.com/questions/61191462
复制相似问题