不要使用Resource Owner Password Credentials
不要使用Resource Owner Password Credentials
文章链接在这里
前言
最近公司项目在做一些重构,因为公司多个业务系统各自实现了一套登录逻辑,比较混乱。所以,现在需要做一个统一的鉴权登录中心,准备用IdentityServer4来实现。看到一些文章,觉得可以翻译记录一下。
Resource Owner Password Credentials
简称ROPC。
首先说一下OAuth2.0 里面有几种Grant Type,每种有特定的使用场景.
- Authorization Code
- Implicit
- Password(也就是标题上讲的那种)
- Client Credentials
- Device Code
- Refresh Token
正文
就顺着文章思路看一下吧。
当你咨询别人自己是否需要用ROPC这种grant type,标准的答案肯定是“不一定”。当然这个答案是正确的。但是我的观点是“不”。不幸的是,现在很多人看到username 和 password 就会激动的说 这就是我想要的(注:我当时也就是因为看到这两个词就觉得这是我应该要用的类型)。他们花了大量的时间实现了这种方式,然后我又花了大量的时间来说服他们这是一个差劲的主意。
下面我们来看看ROPC这种类型,为什么他这么有诱导性,同时我们能做什么来说服别人不要使用这个type这个观点。
为什么ROPC存在
ROPC适合的场景是这样的:用户信任client(client就是需要访问用户个人信息的程序),这种client可能是一些高权限的应用。授权服务器应该特别关注这种情况。并且只有在其他类型不启用的情况下使用它。
好,这里已经说的很清楚了。其一,用户要相信client。我们可以把他理解为你的系统是运行在自己系统/设备。
ROPC通常用于迁移以前的直接单向的验证方式比如HTTP Basic或者Digest authentication。替换以前的存用户凭证的方式改为存access token的方式。
—引用自https://tools.ietf.org/html/rfc6749#section-4.3
这是ROPC的另一个用途。老系统的迁移。实现了这种方式,我们可以立马就体会到access token方式带来的好处,比如有效期,scope 访问控制,以及所有OAuth相关的内容。慢慢的就爱上了OAuth。查看我的文章保护api的错误方式了解为什么不要用类似Http Basic的方式去做验证/鉴权。
为什么你不应该使用ROPC
下面来模拟一下情况。当你集成了OAuth Provider 或者是OpenID Connect Provider,委托认证应该是由OAuth系统来处理。当使用了ROPC,就没有办法知道用户是否真正的发起了请求。ROPC不是一种认证方式。
同时,这种方式在引导你的用户养成一个坏的习惯。他很像一种网络欺骗攻击。一个不知名的程序要求你的用户提供其他程序的凭证。试想一个程序让你输入你谷歌或者facebook的凭证,而不是重定向到谷歌或者fb的页面的情况。
如果你的鉴权服务器和client程序都是你自己,那相对来说可以原谅一些。但是如果你让其他外部的client也使用相同的方式,那么就是把用户凭证暴露给外部的应用了。文档里面也有关于密码有可能被有意或无意的泄露的风险。
client 有可能滥用密码,或密码有可能无意中被攻击者获取。
—引用自https://tools.ietf.org/html/rfc6749#section-10.7
我们这里也默认client程序会通过客户的凭证请求合理的api scope,并通知用户client在访问的内容。用户对授权过程是不可控的(因为只要一步输入用户名密码的过程)。结束了之后,client拿着token想干嘛就干嘛。虽然我们可以通过控制scope的方式来限制client的访问。当时client对用户资源的访问仍然是不可见的。
如果你使用了ROPC而不是其他的,那就无法实现单点登录。用户实际上没有在授权服务器做真正的认证(注:可能真正的认证包括其他比如scope显示之类的),你只是在使用获取token端口。如果你在使用OpanID Connect,那么就无法通过这种方式来获取用户的identity token。
和共享凭证以及Http Basic验证方式类似,ROPC同样限制了验证的方式,这里就只能用username 和 password。多因子验证的方式变得不可用。
认证服务和client应该尽可能少的使用这种类型。
—引用自https://tools.ietf.org/html/rfc6749#section-10.7
在使用ROPC之前应该问自己的问题
因为这是一种有瑕疵的grant type,所以,只有在实在没有选择的情况下才能使用。下面有几个问题需要考虑的。
- 你的程序是否需要考虑历史应用。如果不需要考虑,就不要使用ROPC。2012年之后的程序就不要使用了。
- 你的应用是否可以通过浏览器访问。如果是,请不要使用。
- 你的用户是否信任client。SPA是运行在浏览器端的,请不要使用ROPC。(注:可以伪造一个页面,用户输入用户名+密码)。
- 是不是需要在意安全问题。如果是,就不要使用。
下面的借口是无效的
- 我现在没时间。。
- 我只有一个app。
- 因为用户体验。不要因为你想自定义你的登录页在自己的应用上就使用这种类型。因为有其他出于安全角度的考虑。通常情况下,我们使用google或者ms的应用的时候,是直接保存应用页面并不是登录页面。
如果我还不能说服你
如果你还是想用这种granttype,请至少考虑以下的几点
加固token endpoint
因为ROPC需要直接访问token endpoint(获取token),攻击者会特别关注这个地址,所以,你需要实现一些类似请求拒绝,防止恶意尝试的策略。
理想状况下token endpoint一般不应该被这种事情所打扰,所以,默认的OAuth或者OpenID Connect Provider都不会去实现这种功能。
使用ROPC和SPA
SPA作为一种常见的客户端的程序,一般不保存secret,所以少了很大一部分的安全保护。如果你要在客户端保存secret,这是一种妥协策略。
ROPC本身是允许refresh token的,所以需要在server端禁用
offline_access,不让SPA来刷新token。每次都要获取新的token。
最后的一些想法
我只有在两种情况会同意使用ROPC。
- 在不需要浏览器的情况下,比如apple tv。
- 需要把一个2000年之前的老应用迁移过来。但其实我也曾经在一个vb.net的webform集成了IdentityServer,所以,我可能也不是很建议你使用。
最后说两点。
- 如果你的应用是基于浏览器的客户端应用,试试 Implicit。
- 如果你的是原生应用,试试Authorization Code。
我的博客即将搬运同步至腾讯云+社区,邀请大家一同入驻:https://cloud.tencent.com/developer/support-plan?invite_code=17r6m6mx83vk4
不要使用Resource Owner Password Credentials的更多相关文章
- 使用Resource Owner Password Credentials Grant授权发放Token
对应的应用场景是:为自家的网站开发手机 App(非第三方 App),只需用户在 App 上登录,无需用户对 App 所能访问的数据进行授权. 客户端获取Token: public string Get ...
- 基于 IdentityServer3 实现 OAuth 2.0 授权服务【密码模式(Resource Owner Password Credentials)】
密码模式(Resource Owner Password Credentials Grant)中,用户向客户端提供自己的用户名和密码.客户端使用这些信息,向"服务商提供商"索要授权 ...
- 基于OWIN WebAPI 使用OAuth授权服务【客户端验证授权(Resource Owner Password Credentials Grant)】
适用范围 前面介绍了Client Credentials Grant ,只适合客户端的模式来使用,不涉及用户相关.而Resource Owner Password Credentials Grant模 ...
- OAuth2.0学习(1-6)授权方式3-密码模式(Resource Owner Password Credentials Grant)
授权方式3-密码模式(Resource Owner Password Credentials Grant) 密码模式(Resource Owner Password Credentials Grant ...
- IdentityServer4之Resource Owner Password Credentials(资源拥有者密码凭据许可)
IdentityServer4之Resource Owner Password Credentials(资源拥有者密码凭据许可) 参考 官方文档:2_resource_owner_passwords ...
- asp.net core IdentityServer4 实现 resource owner password credentials(密码凭证)
前言 OAuth 2.0默认四种授权模式(GrantType) 授权码模式(authorization_code) 简化模式(implicit) 密码模式(resource owner passwor ...
- IdentityServer4 之 Resource Owner Password Credentials 其实有点尴尬
前言 接着IdentityServer4的授权模式继续聊,这篇来说说 Resource Owner Password Credentials授权模式,这种模式在实际应用场景中使用的并不多,只怪其太开放 ...
- IdentityServer4专题之六:Resource Owner Password Credentials
实现代码: (1)IdentityServer4授权服务器代码: public static class Config { public static IEnumerable<Identity ...
- ABP中使用OAuth2(Resource Owner Password Credentials Grant模式)
ABP目前的认证方式有两种,一种是基于Cookie的登录认证,一种是基于token的登录认证.使用Cookie的认证方式一般在PC端用得比较多,使用token的认证方式一般在移动端用得比较多.ABP自 ...
随机推荐
- Shell中sed使用
sed是一种在线编辑器,它一次处理一行内容.处理时,把当前处理的行存储在临时缓冲区中,称为“模式空间”(pattern space),接着用sed命令处理缓冲区中的内容,处理完成后,把缓冲区的内容送往 ...
- 五、JAVA反射、线程
第五节:Java反射.线程 线程 1.进程:进程是程序的基本执行实体,进程是线程的容器. 线程:被称为轻量进程,是程序执行流的最小单元.线程是进程中的一个实 ...
- ubuntu系统下手动安装autoconf安装包
首先简单介绍一下autoconf.Autoconf是一个可以适应多种unix类系统的shell脚本的工具. 我在往虚拟机中安装应用时,需要用到该工具,于是想下载一个.但是由于系统内核版本低,已不能用a ...
- js-day03-事件响应和练习题
DOM事件编程 事件驱动编程:所谓事件驱动,简单地说就是你点什么按钮(即产生什么事件),电脑执行什么操作(即调用什么函数).当然事件不仅限于用户的操作. 当对象处于某种状态时,可以发出一个消息通知,然 ...
- HBuilder git使用-分工合作
1.初始项目的创建 创建好项目,在项目名上右键,Team->共享 完成后,就实现了本地仓库的建立,另外你要注意现在创建的项目所有文件变成了红色,Git Repositories视图列出了相应的本 ...
- SSIS - 7.发邮件任务
发邮件任务在SSIS中使用特别多,当包执行失败或者有报错的时候可以用发邮件任务给管理员发邮件通知. 一.SMTP连接管理器 SMTP连接管理器是发邮件任务用来连接SMTP(Simple Mail Tr ...
- MS-UAP发布的UWP的个人隐私策略
我们十分重视您的隐私.本隐私声明解释了我们从您那里收集的个人数据内容以及我们将如何使用这些数据. 我们不收集任何与个人信息相关的数据,只收集与本UWP运行相关的数据,如: 产品使用数据:如每个页面的使 ...
- JavaScript中如何检测一个变量是一个String类型?
typeof x === "string" typeof(x) === "string' // 小写 x.constructor === String // 大写类型 同 ...
- [Swift]LeetCode21. 合并两个有序链表 | Merge Two Sorted Lists
Merge two sorted linked lists and return it as a new list. The new list should be made by splicing t ...
- [Swift]LeetCode241. 为运算表达式设计优先级 | Different Ways to Add Parentheses
Given a string of numbers and operators, return all possible results from computing all the differen ...