OmniAuth提供什么机制来确保安全登录?

时间:2012-07-15 04:19:57

标签: ruby-on-rails-3 authentication omniauth

使用omniauth登录策略,将未登录的用户重定向到身份提供者。身份提供商将确保用户登录,然后将用户重定向到回调网址,允许用户使用身份提供商的身份验证登录到第三方网站。此工作流程由Facebook在其图表中解释:

https://developers.facebook.com/docs/user_registration/flows/

如何确保恶意用户不会欺骗此回调,以便他可以访问身份验证用户的第三方帐户?

2 个答案:

答案 0 :(得分:14)

与Facebook一样,Google实施OAuth2.0协议以确认身份。我将向您介绍OAuth2.0进程的安全性,OmniAuth如何管理它并向您展示如何查看它的实际情况。

由OmniAuth

管理的OAuth2.0流程
  

身份提供商将确保用户被记录,然后将用户重定向到回调网址,允许用户使用身份提供商的身份验证登录第三方网站。

让我展开:身份提供商将用户重定向到您向该特定身份提供商(即Facebook,Google等)注册您的应用程序时提供的应用程序的回调URL。由于用户已被重定向,因此他们向您的应用程序发送包含授权代码的请求(成功登录后由您的身份提供商提供)。

  

如何确保恶意用户不会欺骗此回调,以便他可以访问身份验证用户的第三方帐户?

这就是魔术发生的地方。我们的应用程序从用户那里获取此授权码,将其与我们在注册我们的应用程序时收到的密码相结合,并与身份提供商交换这些密码以获得全能的访问代码。具体来说,以下是确保此回调未被欺骗的步骤:

  1. 整个过程通过SSL(即HTTPS)进行管理。这使得拦截任何这些代码非常困难。
  2. 您的身份提供商通过在成功登录时提供授权码并在从您的应用程序收到此代码时验证该用户的身份。
  3. 您的身份提供商通过验证您的应用程序的密码来确保您的应用程序的身份。

    4. 因此,拦截/解密代码非常困难,如果您尝试使用虚假授权代码欺骗重定向,则当您的服务器尝试使用您的身份提供商验证此代码时,您的登录请求将被拒绝。

    在行动中看到它

    OmniAuth在幕后管理大部分此过程。但是,以下代码应该允许您在操作中看到它:

    # Add the following gem to your Gemfile
gem 'httplog', group: :development

    我们将使用httplog gem。这实际上会将请求日志转储到我们的log / development.log文件中。我们需要初始化:

    # Create a new file: config/initializers/httplog.rb
HttpLog.options[:logger] = Rails.logger if Rails.env.development?

    现在在终端中为您的应用程序启动一个新的Rails服务器:

    bundle install
rails s

    在新标签页中,添加开发日志:

    tail -f log/development.log

    继续打开浏览器并使用您选择的身份提供商登录您的应用程序。打开终端窗口,查看开发日志,在用户(Started GET "/auth/google_oauth2/callback?state=1)的回调请求之后,您应该看到类似的内容:

    [httplog] Connecting: accounts.google.com:443
[httplog] Sending: POST http://accounts.google.com:443/o/oauth2/token
[httplog] Data: client_id=123412341234-1234h1234h1234h1234h.apps.googleusercontent.com&client_secret=12341234123412341234&code=123412341234123412341234&grant_type=authorization_code&redirect_uri=https%3A%2F%2Fyourapp.domain.com%2Fauth%2Fgoogle_oauth2%2Fcallback
....
[httplog] Response:
{
  "access_token" : "123412341234123412341234",
  "token_type" : "Bearer",
  "expires_in" : 3599,
  ...
}

    这是您的服务器验证授权码并验证访问令牌。接下来,OmniAuth使用此令牌获取一些用户信息。再往下看,你也应该看到:

    [httplog] Connecting: www.googleapis.com:443
[httplog] Sending: GET http://www.googleapis.com:443/plus/v1/people/me/openIdConnect
[httplog] Status: 200
[httplog] Response:
{
  "kind": "plus#personOpenIdConnect",
  "gender": "male",
  "sub": "1234123412341234",
  "name": "Matt",
  "given_name": "Matt",
  ...  
}

    这表示OmniAuth使用访问令牌获取您请求的信息。

    一个很长的解释,但我希望它有所帮助。在推送到生产之前,请务必禁用或删除httplog gem!

答案 1 :(得分:-1)

不是“那个人”,但没有什么是完全安全的。也就是说,OmniAuth是一种维护良好且使用频繁的机制,适用于许多不同的身份验证策略。至于安全性,您需要确保使用带有jruby的openssl,可以在Supported Rubies下看到https://github.com/mkdynamic/omniauth-facebook。这应该是您需要的所有安全性,除非您计划广泛使用您的应用程序。

相关问题
最新问题