Tout
OAuth

Comment PKCE empêche-t-il les attaques d’interception de code d’autorisation ?

Généré par l’IA et la communauté LinkedIn

Si vous utilisez OAuth pour autoriser vos applications à accéder à des ressources protégées, vous avez peut-être entendu parler de PKCE, ou Proof Key for Code Exchange. PKCE est une extension de l’octroi du code d’autorisation qui ajoute une couche de sécurité supplémentaire pour empêcher les attaques d’interception. Dans cet article, vous apprendrez comment fonctionne PKCE et pourquoi vous devriez l’utiliser pour vos flux OAuth.

Des experts chevronnés contribuent à cet article

Sélectionnés par la communauté pour 10 contributions. En savoir plus

1 Qu’est-ce que PKCE ?

PKCE est un mécanisme qui permet à l’application cliente de générer un vérificateur de code aléatoire et un défi de code dérivé, et de les envoyer au serveur d’autorisation avec la demande d’autorisation. Le défi de code est une version hachée et codée du vérificateur de code, qui peut être vérifiée par le serveur d’autorisation en utilisant la même méthode de hachage et d’encodage. Le serveur d’autorisation renvoie ensuite un code d’autorisation au client, qui peut être échangé contre un jeton d’accès au point de terminaison du jeton. Toutefois, le client doit également fournir le vérificateur de code d’origine avec le code d’autorisation, et le serveur d’autorisation doit le faire correspondre avec le défi de code précédemment reçu. De cette façon, seul le client qui a initié la demande d’autorisation peut obtenir le jeton d’accès.

Ajoutez votre point de vue

Arun Prasath

Solving Omnichannel Retail's Inventory Allocation and Planning Problem | Co-founder and CTO | Gen AI Architect | 19+ Years experience Enterprise Software Products
Signaler la contribution
PKCE is a security extension to OAuth 2.0 that mitigates authorization code interception attacks. When I first encountered PKCE, it struck me as a clever yet straightforward solution. It involves the client creating a secret (the Code Verifier) and a transform of it (the Code Challenge) when initiating an authorization request. This way, even if an attacker intercepts the authorization code, they cannot exchange it for a token without the Code Verifier, which is not transmitted until the token exchange request.

Texte traduit

J’aime

Charger plus de contributions

2 Pourquoi utiliser PKCE ?

PKCE a été conçu pour corriger une faille de sécurité dans l’octroi du code d’autorisation, qui est le flux OAuth le plus courant et le plus recommandé pour les applications Web et mobiles. Cette vulnérabilité survient lorsqu’un attaquant intercepte le code d’autorisation envoyé du serveur d’autorisation au client via un URI de redirection. L’attaquant peut ensuite utiliser le code volé pour demander un jeton d’accès à partir du point de terminaison du jeton, en usurpant l’identité du client légitime. Cela est particulièrement risqué pour les clients publics, qui sont des applications qui ne peuvent pas stocker une clé secrète client en toute sécurité, telles que les applications natives ou monopages. PKCE empêche ce type d’attaque en demandant au client de prouver son identité auprès du vérificateur de code, qui n’est pas exposé dans l’URI de redirection et ne peut pas être deviné par l’attaquant.

Ajoutez votre point de vue

Arun Prasath

Solving Omnichannel Retail's Inventory Allocation and Planning Problem | Co-founder and CTO | Gen AI Architect | 19+ Years experience Enterprise Software Products
Signaler la contribution
Initially designed for clients unable to securely store credentials, I found PKCE universally beneficial. Its true value lies in its ability to secure public clients against attacks where the authorization code could be intercepted. By ensuring that only the client that initiated the authorization request can exchange the authorization code for an access token, PKCE significantly reduces the risk of unauthorized access.

Texte traduit

J’aime

3 Comment mettre en œuvre PKCE ?

Pour implémenter PKCE, vous devez générer un vérificateur de code aléatoire de 43 à 128 caractères contenant A-Z, a-z, 0-9 -, ., _ou ~. Créez ensuite un défi de code à partir du vérificateur à l’aide de la méthode simple ou S256. Après cela, incluez la méthode de défi de code et la méthode de défi de code dans la demande d’autorisation. Une fois que vous avez reçu un code d’autorisation du serveur d’autorisation, incluez ce code et le vérificateur de code dans la demande de jeton. Enfin, recevez un jeton d’accès du serveur d’autorisation et utilisez-le pour accéder à la ressource protégée.

Ajoutez votre point de vue

Arun Prasath

Solving Omnichannel Retail's Inventory Allocation and Planning Problem | Co-founder and CTO | Gen AI Architect | 19+ Years experience Enterprise Software Products
Signaler la contribution
Implementing PKCE was an enlightening experience. It starts with generating a high-entropy code verifier and its derived code challenge for each authorization request. During the token exchange, the verifier is sent along with the authorization code. This process was easier than I expected, thanks to libraries and frameworks that abstract much of the complexity. Integrating PKCE into our OAuth 2.0 flow brought a new level of security to our applications with minimal disruption.

Texte traduit

J’aime

4 Quels sont les avantages de PKCE ?

PKCE offre plusieurs avantages pour vos flux OAuth, tels que l’amélioration de la sécurité de l’octroi du code d’autorisation en atténuant le risque d’attaques d’interception de code d’autorisation. Il permet également aux clients publics d’utiliser l’octroi de code d’autorisation sans clé secrète client, ce qui est plus sûr que l’utilisation de l’octroi implicite. PKCE simplifie l’intégration des applications natives et monopages avec les fournisseurs OAuth, car ils n’ont pas besoin d’enregistrer un URI de redirection statique ou d’utiliser un schéma personnalisé ou une interface de bouclage. En outre, il prend en charge les URI de redirection dynamique, ce qui peut être utile pour les scénarios où le client doit rediriger vers différents emplacements en fonction du contexte ou des préférences de l’utilisateur.

Ajoutez votre point de vue

Arun Prasath

Solving Omnichannel Retail's Inventory Allocation and Planning Problem | Co-founder and CTO | Gen AI Architect | 19+ Years experience Enterprise Software Products
Signaler la contribution
The benefits of PKCE are manifold. Beyond its primary function of preventing code interception attacks, it also instilled a deeper sense of security in our development practices. It was a game-changer for our public clients, allowing them to achieve a level of security that was previously difficult to attain. The simplicity and effectiveness of PKCE in enhancing the OAuth 2.0 authorization process cannot be overstated.

Texte traduit

J’aime

5 Quels sont les défis de PKCE ?

PKCE n’est cependant pas sans défis. Il nécessite la prise en charge du client et du serveur d’autorisation, qui peut ne pas être disponible dans tous les fournisseurs ou bibliothèques OAuth. En outre, cela ajoute de la complexité et de la surcharge au flux OAuth, car vous devez générer et stocker le vérificateur de code et le défi, et les inclure dans les demandes d’autorisation et de jeton. Il convient de noter que PKCE ne protège pas contre d’autres types d’attaques telles que le phishing, les logiciels malveillants ou la falsification de requêtes intersites. Par conséquent, il est important de suivre les meilleures pratiques pour sécuriser vos flux OAuth, telles que l’utilisation de HTTPS, la validation des URI de redirection, la vérification des étendues et l’implémentation de paramètres d’état.

Ajoutez votre point de vue

Arun Prasath

Solving Omnichannel Retail's Inventory Allocation and Planning Problem | Co-founder and CTO | Gen AI Architect | 19+ Years experience Enterprise Software Products
Signaler la contribution
While PKCE is relatively straightforward to implement, understanding its mechanics and ensuring proper integration can be challenging for those new to OAuth 2.0. Ensuring that every client and authorization server supports PKCE was initially a hurdle. There's also the matter of keeping the code verifier secure on the client side, which requires careful consideration, especially in less secure environments.

Texte traduit

J’aime

6 Voici ce qu’il faut prendre en compte

Il s’agit d’un espace pour partager des exemples, des histoires ou des idées qui ne correspondent à aucune des sections précédentes. Que voudriez-vous ajouter d’autre?

Ajoutez votre point de vue

Alexandros Pappas

Software Engineer | ex-Amazon | Open Source Contributor
(modifié)
Signaler la contribution
Here’s What Else to Consider: Standard Adoption: With the evolution of OAuth to version 2.1, PKCE is becoming a standard part of the OAuth flow. It was originally designed for the use with public clients, but can be used for all OAuth authorization code grants independent of the client type. Educational Effort: There's a need to educate developers about the importance and mechanics of PKCE to encourage its widespread and correct implementation. Continuous Evaluation: As with any security measure, it’s important to continually evaluate PKCE against emerging threats and adapt as necessary.

Texte traduit

J’aime
Anit Shrestha

Techical Leader - SaaS
Signaler la contribution
Best practice: - Use with Authorization Code Flow. - Generate high-entropy code verifier. - Derive a strong code challenge using a secure hashing algorithm. - Ensure all communications are over HTTPS. - Rotate code verifiers for each authorization request. - Implement proper error handling to avoid leaking sensitive information. - Include the code verifier in the token exchange process for additional security. - Set appropriate expiration times for access and refresh tokens. - Implement rate limiting and throttling to mitigate abuse or brute-force attempts. - Safely store and handle tokens on the client side using secure mechanisms. - Conduct regular security audits to identify and address vulnerabilities. - Use third-party for reliability.

Texte traduit

J’aime
Martin Luigi Paucara Larico

Technology Architect at Banco de Crédito BCP
Signaler la contribution
As recommended by RFC7636, the client should consider create a code verifier with a minimum of 256 bits of entropy. This can be done by having a suitable random number generator create a 32-octet sequence. The octet sequence can then be base64url-encoded to produce a 43-octet URL safe string to use as a code challenge that has the required entropy.

Texte traduit

J’aime
Arun Prasath

Solving Omnichannel Retail's Inventory Allocation and Planning Problem | Co-founder and CTO | Gen AI Architect | 19+ Years experience Enterprise Software Products
Signaler la contribution
Adopting PKCE is not just about following a security best practice; it's about embracing a security-first mindset. While PKCE significantly enhances security, it's also crucial to stay informed about emerging threats and continuously assess and update security measures in your OAuth 2.0 implementations. My experience has taught me that security is a journey, not a destination, and PKCE is a valuable step on that journey.

Texte traduit

J’aime

OAuth

+ Suivre

Notez cet article

Nous avons créé cet article à l’aide de l’intelligence artificielle. Qu’en pensez-vous ?

Il est très bien Ça pourrait être mieux

Signaler cet article

Tout voir

Comment PKCE empêche-t-il les attaques d’interception de code d’autorisation ?

1

2

3

4

5

6

1 Qu’est-ce que PKCE ?

2 Pourquoi utiliser PKCE ?

3 Comment mettre en œuvre PKCE ?

4 Quels sont les avantages de PKCE ?

5 Quels sont les défis de PKCE ?

6 Voici ce qu’il faut prendre en compte

OAuth

Notez cet article

Nous vous remercions de votre feedback

Plus d’articles sur OAuth

Lecture plus pertinente