OpenId Connect登录流程图

Posted 2023-05-25 youliCC

本文来自博客园，作者：youliCC，转载请注明原文链接：https://www.cnblogs.com/youlicc/p/17429903.html

OpenID-Connect 身份验证服务器的登录页面中是不是需要 CSRF 令牌？

【中文标题】OpenID-Connect 身份验证服务器的登录页面中是不是需要 CSRF 令牌？

【英文标题】：Is CSRF token necessary in the login page of an OpenID-Connect authentication server?OpenID-Connect 身份验证服务器的登录页面中是否需要 CSRF 令牌？

【发布时间】：2019-03-21 17:03:25

【问题描述】：

标题是不言自明的。我知道登录页面中缺少 CSRF 令牌可能会导致侵犯隐私（根据 link）。但是我担心的是它会导致身份验证服务器的登录页面中出现任何新漏洞吗？

【问题讨论】：

请编辑问题以将其限制为具有足够详细信息的特定问题，以确定适当的答案。避免一次问多个不同的问题。请参阅“如何提问”页面以获得澄清此问题的帮助。

嗨。谢谢你的建议。但我认为这个问题仅限于一个特定的问题（OpenID-Connect 中身份验证服务器的登录页面中没有 CSRF 令牌的安全漏洞）。如果您指定问题的哪一部分含糊不清或没有足够的详细信息，我很乐意编辑帖子。

【参考方案1】：

我会说需要针对跨站点请求伪造 (CSRF) 的保护，但不一定需要使用 CSRF tokens。这些令牌是一种典型且常见的解决方案，但任何可以保护用户免受这种攻击的东西都应该足够了。

所以，退后一步，OWASP says：

Cross-Site Request Forgery (CSRF) 是一种攻击，它会强制最终用户在当前已通过身份验证的 Web 应用程序上执行不需要的操作。

他们的CSRF cheatsheet 有许多可能的保护措施（包括非基于令牌的选项）。 OpenID Connect 提供者应该支持其中的部分或全部：

仅使用 SameSite cookies 或 SameSite 制造商 cookie 来跟踪跨站点请求 在请求中使用custom headers Verification of the origin 使用标准标题 使用double submit cookies 在 GET 请求中从不改变状态

此外，别忘了还要防范跨站脚本 (XSS)，否则其中一些保护措施可能会失效。这可以使用 CSP 和 other techniques 来完成。