oauth解決的問題場景例如
使用者要在把msn的好友匯入到人人網。如果人人網做這個功能需要收集使用者在msn的使用者名稱和密碼。這裡就存在乙個不安全的行為。
oauth存在3個角色
1 消費方 2 服務提供方 3 使用者
client server resource owner
上面的例子中 人人網是client msn是server owner是使用者
具體流程概括起來就是,client帶使用者去找伺服器申請乙個臨時令牌,讓使用者到服務端去授權確認讓臨時令牌生效,給於client操作伺服器資源的許可權。
OAuth學習筆記
oauth認證授權具有以下特點 在認證和授權的過程中涉及的三方包括 使用者 user 存放在服務提供方的受保護的資源的擁有者。客戶端 consumer 要訪問服務提供方資源的第三方應用,通常是 如提供 列印服務的 在認證過程之前,客戶端要向服務提供者申請客戶端標識。使用oauth進行認證和授權的過程...
web安全學習筆記之 檔案上傳漏洞
檔案上傳在web服務裡非常普遍 上傳檔案漏洞指的是上傳web指令碼且能被web伺服器解析 上傳檔案必須能被解釋執行 且在web容器能執行的路徑裡 伺服器如果僅僅根據檔名來判斷檔案的型別,則很容易利用0截斷功能繞過 例如 php偽造成 php 0.jpg 一般php的檔名處理結果是.jpg 除了看字尾...
Web安全基礎學習筆記
1 web不是網際網路,是網際網路提供的服務之一 2 web工作流程 3 web常見危害 web2.0 從1.0的危害伺服器到更多的危害客戶端 web1.0 sql注入 檔案上傳 掛馬 暗鏈等 web2.0 xss csrf 邏輯漏洞 釣魚 劫持 4 發展史 只記得第一款多點觸控瀏覽器 2009年火...