[转]微博网站用OAuth就一定安全吗?

小编辑 发布于 2011/04/21 22:36
阅读 896
收藏 4

现在微博网站很火,新浪微博、搜狐微博、腾讯微博、网易微博……无论是在电视上、还是公交车上、地铁上,真的是铺天盖地了,也因此这些公司的市值不断提升。为了吸引更多的应用,这些网站也纷纷开放API,以开放平台的方式供第三方应用开发或进驻微博广场。今天我们就来说一下这些开放API的授权问题。

 

作为开发人员,我们都知道开放API必然会有鉴权部分,要充分考虑到用户数据的安全性,因此,这些网站都有授权机制,常用的有如下两种。

 

一种是Basic Authentication,也称为普通鉴权或基本鉴权,是一种通过在HTTP头信息中加入用户名密码进行传输以确认用户身份的协议。当我们在开发应用时,会有一个界面用来要求用户输入用户名和密码,然后按RFC2617标准将用户名和密码用冒号连接起来并做Base64编码,每次进行HTTP请求时在header数据中加入:

Authorization: Basic 编码后的用户信息

即可。

 

这种方式简单易行,开发方便,但不足之处是安全性差。一是开发人员可以轻而易举的记录用户的用户名和密码信息,二是通过HTTP包可以很容易的进行Base64解码并形成用户信息的明文,因此,目前很多网站都不再提供对此种授权方式的支持。

 

另一种是OAuth,这是目前应用最多的一种鉴权方式,其目的就是针对普通鉴权的安全性提出的,一是不想在我们开发的应用程序中提供用户输入用户名密码的界面,从而防止开发人员对用户登录信息的记录,二是在通过授权后的HTTP通信中不再传输用户信息而是以数字签名和AccessToken取代,即使截到HTTP包,也无法还原出用户的登录信息。

 

只不过鱼与熊掌不可兼得,这种方式的初次用户授权过程很漫长,要想获取到AccessToken,需要经过好几个步骤,可以参考新浪给出的这张图。

  

 

或者参考OAuth协议简介的博文。

 

尽管看上去很美,但其实OAuth对开发人员记录用户登录信息的安全性保障做得并不理想,或者说采用OAuth的网站做得不理想。拿新浪为例,假设我们已经在新浪微博开放平台上创建了应用,得到了新浪分配的AppKeyAppSecret,然后按照上述流程开发。

 

首先访问request_token获取RequestKeyRequestSecret,这步没有问题。

 

接下来,访问authorize获取用户授权确认,注意,这里显示出来的供用户确认的网页本意是不想在我们的应用程序中出现,直接利用外部浏览器进行,这样在整个用户输入登录信息的过程中对开发人员是不可见的。问题就出在这里。如果在我们自己的应用程序中内嵌浏览器的话,尽管用户在授权页面上输入的用户名和密码不好获取,但是当用户点击授权按钮后的HTTP请求还是会受我们的应用程序控制的。也就是说,用户填好登录信息并提交时,我们可以得到如下的URL

http://api.t.sina.com.cn/oauth/authorize?action=submit&oauth_token=xxx &display=null&oauth_callback=http%3A%2F%2Fxxx&from=&userId=xxx%40sina.com&passwd=123456

从这里我们看到了什么?没错,看到了用户登录的ID和密码,而且是明文的。

 

写到这里,我想可以结束本文了,总体上来说,对比这两种授权方式,显然还是OAuth更安全,但是希望网站方在提供用户授权的页面时,还是要仔细处理这些问题。要知道现在客户端开发是可以很容易的在自己的界面中内嵌浏览器并可以监控到用户在浏览器中的操作的。

 

用一句经典的话结尾吧:安全永远是相对的。

加载中
0
ValueError
ValueError

现在好多把 oAuth 当成 OpenID 用的,很是无语。

新浪和腾讯围脖又都不会像 Google 和 豆瓣 一样,在授权页面告知用户将会授权给开发者什么区域访问权,一旦信任就等于把房门钥匙双手奉上了。

我觉得这个比 oAuth 等本身的安全更纠结……

0
JiangMiao
JiangMiao

如果OAuth不安全,那是使用者不完全遵守OAuth协议所致。

其一,OAuth明文规定OAuth认证应该使用HTTPS。如果明文则是必须。

其二,用户登录授权,一切都在Server上运行,并不会泄漏给第三方。

文中的整个80端口被嗅探了,那也只有用HTTPS了。

0
喔喔兒
喔喔兒

应该不是OAUTH不安全, 而是在使用
OAUtH的过程中(比如新浪微博)不严谨, 导致安全性的问题,

0
z
zcq100

用户授权了,他真的了解应用做了什么吗?

很多网站就把Oauth拿来做身份认证...

新浪api没有给应用返回明文的pwd

0
h
hobitton
用户这儿应该通过post的方式去访问 authorize 吧?post的内容如果通过ssl应该不会被获取到啊?难道它只提供的get方法去访问?应该没这么小白把?
返回顶部
顶部