很可能我误解了有关该主题的某些内容或在实施过程中遗漏了某些内容
我浏览了 Auth0 的文档,通过端点而不是 SDK 使用 PKCE 创建授权代码流,我看到我们提出了如下挑战和验证程序(来自 auth0 文档):
// Dependency: Node.js crypto module
// https://nodejs.org/api/crypto.html#crypto_crypto
function base64URLEncode(str) {
return str.toString('base64')
.replace(/\+/g, '-')
.replace(/\//g, '_')
.replace(/=/g, '');
}
var verifier = base64URLEncode(crypto.randomBytes(32));
和
// Dependency: Node.js crypto module
// https://nodejs.org/api/crypto.html#crypto_crypto
function sha256(buffer) {
return crypto.createHash('sha256').update(buffer).digest();
}
var challenge = base64URLEncode(sha256(verifier));
然后我们将质询传递给授权端点,如下所示(来自 auth0 文档):
https://YOUR_DOMAIN/authorize?
response_type=code&
code_challenge=CODE_CHALLENGE&
code_challenge_method=S256&
client_id=YOUR_CLIENT_ID&
redirect_uri=YOUR_CALLBACK_URL&
scope=SCOPE&
audience=API_AUDIENCE&
state=STATE
并将代码和验证器传递到令牌端点,如下所示(同样来自 auth0 文档):
curl --request POST \
--url 'https://YOUR_DOMAIN/oauth/token' \
--header 'content-type: application/x-www-form-urlencoded' \
--data grant_type=authorization_code \
--data 'client_id=YOUR_CLIENT_ID' \
--data code_verifier=YOUR_GENERATED_CODE_VERIFIER \
--data code=YOUR_AUTHORIZATION_CODE \
--data 'redirect_uri=https://YOUR_APP/callback'
实现是一件相当简单的事情,但我不明白为什么另一个应用程序不能做出相同的挑战和验证并模拟我们的应用程序?
我认为我们不使用 client_secret 作为授权代码流,暴露的 client_secret 使黑客更容易尝试令牌生成和错误模拟我们的应用程序,为什么他们不能简单地模拟挑战和验证者?
PKCE 的作用是验证发起初始身份验证请求的客户端是否也是使用授权码获取真实令牌的客户端。
PKCE 是在身份提供商端实现的保护检查,与需要客户端执行检查的 State/Nonce 安全功能相比。
PKCE 与客户端密钥完全无关。
如果您在应用程序或 SPA 中使用不带 PKCE 的授权代码流,并且有人捕获您从授权服务器收到的授权代码,他将能够通过发送授权代码 + 来从授权令牌中检索访问令牌授权服务器的客户端 ID(密钥)和客户端密钥。因为对于您应用程序的所有用户/客户端来说,ID 和密钥都是“相同”的。使用访问令牌,他可以从资源服务器检索用户数据。 如果您将授权代码流程与PKCE
一起使用,攻击者无法使用授权代码,因为他没有验证者。如果他创建自己的验证程序和代码挑战并构建他自己的应用程序版本,他还需要让用户使用他的应用程序版本。只有这样,用户登录到授权服务器后,挑战和验证者才会匹配。如果他仅以某种方式捕获授权代码,则生成自己的挑战和验证程序是没有用的,因为流程是从您的应用程序创建的挑战开始的,并且与他创建的验证程序不匹配。 与此问题相关:攻击者不能也获得代码挑战吗?
事实并非如此。使用 PKCE 的身份验证代码仅比隐式流程更安全,隐式流程不涉及客户端机密。