Facebook身份验证示例CSRF

时间:2011-09-08 20:31:16

标签: php facebook authentication csrf

http://developers.facebook.com/docs/authentication/给出的Facebook身份验证示例尝试通过在auth_request的status部分中插入随机分组信息来阻止CSRF。当auth_request返回时,代码会检查以确保随请求返回了相同的随机组。这是如何促进CSRF的?

代码:

<?php 

   $app_id = "YOUR_APP_ID";
   $app_secret = "YOUR_APP_SECRET";
   $my_url = "YOUR_URL";

   session_start();
   $code = $_REQUEST["code"];

   if(empty($code)) {
     $_SESSION['state'] = md5(uniqid(rand(), TRUE)); //CSRF protection
     $dialog_url = "http://www.facebook.com/dialog/oauth?client_id=" 
       . $app_id . "&redirect_uri=" . urlencode($my_url) . "&state="
       . $_SESSION['state'];

     echo("<script> top.location.href='" . $dialog_url . "'</script>");
   }

   if($_REQUEST['state'] == $_SESSION['state']) {
     $token_url = "https://graph.facebook.com/oauth/access_token?"
       . "client_id=" . $app_id . "&redirect_uri=" . urlencode($my_url)
       . "&client_secret=" . $app_secret . "&code=" . $code;

     $response = file_get_contents($token_url);
     $params = null;
     parse_str($response, $params);

     $graph_url = "https://graph.facebook.com/me?access_token=" 
       . $params['access_token'];

     $user = json_decode(file_get_contents($graph_url));
     echo("Hello " . $user->name);
   }
   else {
     echo("The state does not match. You may be a victim of CSRF.");
   }

 ?>

这里将信息添加到请求中:

 if(empty($code)) {
     $_SESSION['state'] = md5(uniqid(rand(), TRUE)); //CSRF protection
     $dialog_url = "http://www.facebook.com/dialog/oauth?client_id=" 
       . $app_id . "&redirect_uri=" . urlencode($my_url) . "&state="
       . $_SESSION['state'];

     echo("<script> top.location.href='" . $dialog_url . "'</script>");
   }

并在此处查看:

 if($_REQUEST['state'] == $_SESSION['state'])

如何确保它们具有相同的“状态”确保没有CSRF?

由于

1 个答案:

答案 0 :(得分:4)

您为Web服务(Facebook)的每个请求生成哈希(或状态)并存储在服务器上的会话中。此哈希与您网站上的Facebook请求一起发送。 Facebook将相同的哈希值作为响应的参数发回。

您所做的只是检查请求之前生成的哈希是否与响应中的哈希匹配。

   MyWebsite   |    Facebook
---------------+-----------------
               |
Generate $hash |
  Store $hash  |
               |
             $hash
    ----------------------->
               |
             $hash
    <-----------------------
               |
  Check $hash  |

这会阻止CSRF,因为每个请求的哈希值都不同。显然,如果你为每个请求使用相同的字符串,任何知道(或猜测)它的人都可以伪造一个响应。

请求完成后,检查会话中的哈希值,并且响应中的哈希值都匹配。如果它们不匹配,则可能是伪造的响应。检查后,清除会话中的值,因为您将不再需要它。

在一般情况下(不仅仅是Facebook的实现),通常还要为哈希存储超时。这将防止在以后使用/利用不完整请求的哈希。没有一个时间适合所有应用程序和案例,但是在这样的辅助请求/操作的情况下,30s-1分钟就可以。

相关问题
最新问题