Alle
OAuth

Wie aktualisieren Sie Ihre OAuth 2.0-Clients und -Server, um den neuesten Best Practices für die Sicherheit zu entsprechen?

Bereitgestellt von KI und der LinkedIn Community

OAuth 2.0 ist ein weit verbreitetes Protokoll zum Autorisieren von Anwendungen für den Zugriff auf geschützte Ressourcen im Namen von Benutzern. OAuth 2.0 ist jedoch kein Sicherheitsstandard und gibt nicht an, wie bestimmte Sicherheitsfeatures und Best Practices implementiert werden sollen. Daher sind viele OAuth 2.0-Clients und -Server anfällig für gängige Angriffe und Risiken, wie z. B. Phishing, Token-Lecks, Wiedergabe und Einschleusung von Autorisierungscode. Um Ihre OAuth 2.0-Bereitstellungen und -Benutzer zu schützen, müssen Sie Ihre Clients und Server aktualisieren, um die neuesten bewährten Sicherheitsmethoden zu befolgen. In diesem Artikel behandeln wir sechs Schritte, um dies zu tun.

Top-Expert:innen in diesem Artikel

Von der Community unter 10 Beiträgen ausgewählt. Mehr erfahren

Jоsé P. Alоnza

Tech Lead & Pre-Sales Architect

1 Verwenden von PKCE für öffentliche Clients

Öffentliche Clients sind Anwendungen, die ihre geheimen Clientgeheimnisse nicht vertraulich behandeln können, z. B. mobile Apps, browserbasierte Apps und Desktop-Apps. Diese Clients sind anfällig für Autorisierungscode-Interception-Angriffe, bei denen ein Angreifer den Autorisierungscode stehlen und gegen ein Zugriffstoken austauschen kann. Um dies zu verhindern, sollten Sie den Proof Key für den Codeaustausch verwenden (PKCE) -Erweiterung, bei der der Client eine zufällige Codeüberprüfung und eine Abfrage für abgeleiteten Code generieren und diese zusammen mit der Autorisierungsanforderung und der Tokenanforderung senden muss. Auf diese Weise kann der Server überprüfen, ob derselbe Client den Flow initiiert und abgeschlossen hat.

Fügen Sie Ihre Sichtweise hinzu

Arun Prasath

Solving Omnichannel Retail's Inventory Allocation and Planning Problem | Co-founder and CTO | Gen AI Architect | 19+ Years experience Enterprise Software Products
Beitrag melden
Integrating Proof Key for Code Exchange (PKCE) became essential with the increasing use of mobile and single-page applications. PKCE adds an extra layer of security by requiring a code challenge and verifier for each authentication request, significantly reducing the risk of interception attacks. Implementing PKCE was a learning curve but noticeably enhanced the security of our OAuth 2.0 flows, making it a standard practice for all public clients.

Übersetzt

Gefällt mir

2 HTTPS für alle Endpunkte verwenden

Alle OAuth 2.0-Endpunkte, einschließlich des Autorisierungsendpunkts, des Tokenendpunkts und des Umleitungsendpunkts, sollten HTTPS verwenden, um eine sichere Kommunikation zu gewährleisten und Man-in-the-Middle-Angriffe zu verhindern. HTTPS verschlüsselt die Daten, die zwischen dem Client und dem Server übertragen werden, und validiert die Identität des Servers mithilfe von Zertifikaten. Wenn Sie einfaches HTTP verwenden, besteht die Gefahr, dass Ihre Clientanmeldeinformationen, Autorisierungscodes, Zugriffstoken und Aktualisierungstoken für Angreifer verfügbar gemacht werden, die den Datenverkehr abfangen oder ändern können.

Fügen Sie Ihre Sichtweise hinzu

Arun Prasath

Solving Omnichannel Retail's Inventory Allocation and Planning Problem | Co-founder and CTO | Gen AI Architect | 19+ Years experience Enterprise Software Products
Beitrag melden
Transitioning to HTTPS for all OAuth endpoints was a critical move towards securing our authentication and authorization processes. This ensured that all data exchanged between clients, servers, and users was encrypted, protecting against eavesdropping and man-in-the-middle attacks. While initially daunting, the switch to HTTPS was facilitated by modern tools and services, making it a seamless yet impactful upgrade in our security measures.

Übersetzt

Gefällt mir

3 Überprüfen von Umleitungs-URIs

Der Umleitungs-URI ist der Endpunkt, an dem der Client den Autorisierungscode oder das Zugriffstoken vom Server erhält, nachdem der Benutzer seine Zustimmung erteilt hat. Der Server sollte nur Umleitungs-URIs akzeptieren, die vom Client registriert werden und genau mit den in der Autorisierungsanforderung gesendeten URIs übereinstimmen. Dadurch werden Open-Redirector-Angriffe verhindert, bei denen ein Angreifer den Benutzer dazu verleiten kann, eine bösartige Website zu besuchen, die sich als legitimer Client ausgibt und den Autorisierungscode oder das Zugriffstoken stiehlt.

Fügen Sie Ihre Sichtweise hinzu

Arun Prasath

Solving Omnichannel Retail's Inventory Allocation and Planning Problem | Co-founder and CTO | Gen AI Architect | 19+ Years experience Enterprise Software Products
Beitrag melden
Redirect URI validation was tightened to prevent unauthorized redirection and potential leakage of authorization codes or tokens. By strictly validating redirect URIs against a predetermined whitelist, we mitigated risks associated with open redirection attacks. This measure required diligent configuration and maintenance of redirect URIs but proved crucial in safeguarding our OAuth flows.

Übersetzt

Gefällt mir

4 Verwenden von kurzlebigen und bereichsbezogenen Zugriffstoken

Zugriffstoken sind die Anmeldeinformationen, die der Client verwendet, um im Namen des Benutzers auf die geschützten Ressourcen zuzugreifen. Um die Auswirkungen von Tokenverlusten oder -diebstahl zu minimieren, sollten Sie kurzlebige und bereichsbezogene Zugriffstoken verwenden. Kurzlebige Zugriffstoken laufen nach kurzer Zeit ab, sodass der Client gezwungen ist, sie mit einem Aktualisierungstoken oder einer neuen Autorisierungsanforderung zu erneuern. Bereichsbezogene Zugriffstoken schränken die Berechtigungen und Aktionen ein, die der Client auf dem Ressourcenserver ausführen kann, und verringern so den potenziellen Schaden im Falle eines nicht autorisierten Zugriffs.

Fügen Sie Ihre Sichtweise hinzu

Jоsé P. Alоnza

Tech Lead & Pre-Sales Architect
Beitrag melden
Es correcto, implementar la renovación automática de tokens para evitar la necesidad de almacenar tokens de acceso a largo plazo en el cliente. De esta manera, se reducen los riesgos asociados con el almacenamiento prolongado de tokens entonces es importante tambien entonces, establecer politicas de expiración, configurandolas de forma adecuada para los tokens en el cliente, asegurándonos de que lso tokens se actualicen o se eliminen cuando sea necesario.

Übersetzt

Gefällt mir
Arun Prasath

Solving Omnichannel Retail's Inventory Allocation and Planning Problem | Co-founder and CTO | Gen AI Architect | 19+ Years experience Enterprise Software Products
Beitrag melden
Adopting short-lived access tokens with specific scopes significantly reduced the impact of potential token leaks. By limiting the lifespan and access scope of each token, the window for exploitation by unauthorized parties was greatly narrowed. Implementing token expiration and scope management added complexity to our token service but greatly improved our overall security stance.

Übersetzt

Gefällt mir

5 Token sicher speichern und übertragen

Token sind sensible Daten, die vom Client und vom Server sicher gespeichert und übertragen werden sollten. Sie sollten es vermeiden, Token an unsicheren Orten zu speichern, z. B. im Browserspeicher, in Cookies oder Protokollen, wo andere Parteien oder Skripts darauf zugreifen können. Sie sollten auch vermeiden, Token in unsicheren Kanälen zu übertragen, z. B. Abfrageparameter, wo sie in der URL oder im Browserverlauf verfügbar gemacht werden können. Stattdessen sollten Sie Token in verschlüsselten oder geschützten Speichern speichern, z. B. in sicheren Cookies oder Schlüsselbunden, und sie in sicheren Kanälen wie HTTP-Headern oder POST-Texten übertragen.

Fügen Sie Ihre Sichtweise hinzu

Jоsé P. Alоnza

Tech Lead & Pre-Sales Architect
Beitrag melden
El almacenamiento seguro de tokens es una de las practicas recomendadas que se pueden seguir. El almacenamiento seguro a nivel de sistema operativo del dispositivo cliente, por ejemplo: - Dispositivos móviles: en telefonos inteligentes, se pueden utilizar mecanismos seguros de almacenamiento como el keystore en Android o el Secure Enclave en iOS para almacenar claves y tokens de forma segura. - Navegadores Web: los navegadores aprovechan las capacidades de almacenamiento seguro, como sessionstorage o localstorage, entonces es bueno asegurarse de que se esten utilizando adecuadamente.

Übersetzt

Gefällt mir
Arun Prasath

Solving Omnichannel Retail's Inventory Allocation and Planning Problem | Co-founder and CTO | Gen AI Architect | 19+ Years experience Enterprise Software Products
Beitrag melden
Ensuring the secure storage and transmission of tokens involved adopting best practices such as using secure, encrypted channels for transmission (HTTPS) and employing secure storage mechanisms on the client side. This also meant educating our team and users on the importance of token security, from secure transmission to vigilant storage practices.

Übersetzt

Gefällt mir

6 Implementieren von Tokenwiderruf und Introspektion

Token-Widerruf und Introspektion sind optionale Features, die es dem Client und dem Server ermöglichen, Token ungültig zu machen bzw. zu überprüfen. Die Tokensperrung ermöglicht es dem Client oder Server, ein Zugriffstoken oder ein Aktualisierungstoken zu widerrufen, wenn es nicht mehr benötigt oder kompromittiert wird, wodurch eine weitere Verwendung verhindert wird. Die Token-Introspektion ermöglicht es dem Server, die Gültigkeit und die Metadaten eines Tokens zu überprüfen, z. B. die Ablaufzeit, den Bereich und den Aussteller, bevor der Zugriff auf eine Ressource gewährt wird. Diese Funktionen verbessern die Sicherheit und Kontrolle des OAuth 2.0-Flows und können mithilfe von Standard- oder benutzerdefinierten Endpunkten implementiert werden.

Fügen Sie Ihre Sichtweise hinzu

Arun Prasath

Solving Omnichannel Retail's Inventory Allocation and Planning Problem | Co-founder and CTO | Gen AI Architect | 19+ Years experience Enterprise Software Products
Beitrag melden
Implementing mechanisms for token revocation and introspection added a layer of control and visibility over token usage. In case of suspected compromise or the end of a token's intended use, having the ability to revoke access immediately was invaluable. Similarly, token introspection allowed our systems to verify the active status and scope of tokens, enhancing real-time security checks.

Übersetzt

Gefällt mir

7 Hier ist, was Sie sonst noch beachten sollten

Dies ist ein Ort, an dem Sie Beispiele, Geschichten oder Erkenntnisse teilen können, die in keinen der vorherigen Abschnitte passen. Was möchten Sie noch hinzufügen?

Fügen Sie Ihre Sichtweise hinzu

Jоsé P. Alоnza

Tech Lead & Pre-Sales Architect
Beitrag melden
A nivel de clientes OAuth 2.0, me parece importante considerar el uso del Flujo de Autorización mas Seguro, por ejemplo Authorization Code Flow para aplicaciones web y Mobile Device Authorization Flow para aplicaciones moviles.

Übersetzt

Gefällt mir
Arun Prasath

Solving Omnichannel Retail's Inventory Allocation and Planning Problem | Co-founder and CTO | Gen AI Architect | 19+ Years experience Enterprise Software Products
Beitrag melden
Beyond these measures, staying informed about the latest developments in OAuth 2.0 security and related technologies has been paramount. Regularly reviewing and updating our practices in line with industry standards and guidelines ensures our systems remain secure. Additionally, fostering a culture of security awareness among developers and users alike has been crucial for maintaining a proactive stance on OAuth security.

Übersetzt

Gefällt mir

OAuth

+ Folgen

Diesen Artikel bewerten

Wir haben diesen Artikel mithilfe von KI erstellt. Wie finden Sie ihn?

Sehr gut Geht so

Diesen Artikel melden

Alle anzeigen

Wie aktualisieren Sie Ihre OAuth 2.0-Clients und -Server, um den neuesten Best Practices für die Sicherheit zu entsprechen?

1

2

3

4

5

6

7

1 Verwenden von PKCE für öffentliche Clients

2 HTTPS für alle Endpunkte verwenden

3 Überprüfen von Umleitungs-URIs

4 Verwenden von kurzlebigen und bereichsbezogenen Zugriffstoken

5 Token sicher speichern und übertragen

6 Implementieren von Tokenwiderruf und Introspektion

7 Hier ist, was Sie sonst noch beachten sollten

OAuth

Diesen Artikel bewerten

Vielen Dank für Ihr Feedback

Weitere Artikel zu OAuth

Relevantere Lektüre