V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
James369
V2EX  ›  程序员

如果 OAuth 的 Access Token 泄漏,是否会影响安全性?

  •  
  •   James369 · 2020-10-29 10:22:52 +08:00 · 2290 次点击
    这是一个创建于 1487 天前的主题,其中的信息可能已经有所发展或是发生改变。
    根据 OAuth 的描述,第三方 App 可以通过 Access Token 去请求资源。
    如果有人在网关 /路由器监听,那么 Access Token 不是很容易就泄露了?这样他也可以拿这个 Access Token 去获取相关资源?
    如此要如何避免此问题呢
    6 条回复    2020-10-29 18:30:18 +08:00
    lff0305
        1
    lff0305  
       2020-10-29 10:30:13 +08:00
    HTTPS,能够保证安全性
    当然本地要是信任了某个 ca 发布的不安全根证书或者中木马了就没办法了
    James369
        2
    James369  
    OP
       2020-10-29 10:33:16 +08:00
    @lff0305 我之前看到,有些工具可以直接对 https 进行抓包分析的
    owlsec
        3
    owlsec  
       2020-10-29 10:47:15 +08:00
    @James369 抓包分析的前提是信任了伪造的证书。

    除非有非常严重的漏洞,采用了 https 的链路传输是安全的。

    access_token 都是有过期时间的。有些平台会要求重新登录或者 refresh_token 。OAuth 是一个很安全的体系。
    baiyi
        4
    baiyi  
       2020-10-29 10:56:50 +08:00
    这是中间人,跟授权体系本身没有关系
    easonHHH
        5
    easonHHH  
       2020-10-29 10:59:56 +08:00   ❤️ 1
    在网关 /路由器监听,包内容也都是加密内容。如果你要解包就做中间人攻击,监听处返回一个自制证书,然后就可以分析你的内容了,为了避免这种情况发生,安全证书都是由可信 CA 机构签发的,证书包括域名等相关信息。如果你访问的网站跟证书信息不一致(比方说你一个 a.com 返回一个 CN:b.com 的证书),或者是非可信 CA 机构签发的证书,浏览器或者都会提示不安全。

    工具抓包就是你把自制的根证书信任了
    Sapp
        6
    Sapp  
       2020-10-29 18:30:18 +08:00
    你说的这个跟 OAuth 有啥关系?他又不是 OAuth 特有问题,你就算普通登录不还是有这个问题,而且 https 你说的抓包是要安装证书的,你可以搞个抓包软件看看,或者干脆用手机梯子 quanx 、surge,他都会让你装证书才能用 MitM 解密 https 。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2761 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 07:07 · PVG 15:07 · LAX 23:07 · JFK 02:07
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.