為了避免自己撰寫出具有安全風險的程式碼而仍不自知,就挑上這堂 從 OWASP Top 10 實現全方位防禦強化 課程。這邊筆記下 OAuth client 與 server。
課程相關資訊
[連結]:https://hiskio.com/courses/1539/lectures/146908
本篇範圍:Chapter 6
請注意:本系列文章為個人對應課程的消化吸收後,所整理出來的內容。換言之,並不一定會包含全部的課程內容,也有可能會添加其他資源來說明。
內容
1. Client 端 – 需要存取該系統,進而發送 signature 請求到 FB/Twitter… 等伺服器端
2. Server 端 – 進行 Signature 請求處理。驗證成功後產生 access token 回覆給客戶端
OAuth1
客戶端 – 在請求中,宣告 version、timestamp、Callback、Signature Method、Token、Consumer Key、Nonce (隨機字串,用於此次請求)。最後會生成一組 Signature
概略可見 https://docs.authlib.org/en/latest/oauth/1/intro.html 文章內所提供的這張圖
