文章总结: 文章系统梳理OAuth2.0原理与授权码、隐式两种主流流程,指出省略授权确认、state缺失、redirect_uri白名单过宽等配置缺陷可导致CSRF、令牌泄露及钓鱼登录,给出优先授权码模式、强制state校验、扫码二次确认等开发与用户级防护要点。 综合评分: 78 文章分类: WEB安全,应用安全,安全建设,安全培训,解决方案
深入理解OAuth 2.0:原理、流程与安全风险
原创
m3x1 m3x1
梦醒安全
2026年1月22日 08:00 湖北
免责声明:本公众号内容仅用于知识分享和学习,由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号梦醒安全及作者不为此承担任何责任,一旦造成后果请自行承担!
PART.01
前言
在日常使用各类互联网服务时,我们经常会遇到“使用微信/QQ/微博登录”的选项,这种便捷的第三方登录方式背后,核心支撑技术就是OAuth 2.0。作为应用间授权的主流框架,OAuth 2.0极大提升了用户体验,但同时也因配置不当、逻辑缺陷等问题存在安全风险。本文将从原理、流程到安全隐患,全面解析OAuth 2.0,帮助大家理解其运作机制,规避潜在风险。
PART.02
内容
一、OAuth 2.0是什么?
OAuth 2.0是一种授权框架,核心价值在于允许第三方应用在不获取用户账号密码的前提下,获得对用户在另一应用中数据的有限访问权限。简单来说,它解决了“跨应用授权”的问题——比如你用微信登录百度,百度无需知道你的微信账号密码,只需获得微信的授权,就能验证你的身份,完成登录。
OAuth 2.0涉及三个核心角色:
-
客户端应用程序
:想要访问用户数据的应用(如百度);
-
资源所有者
:用户本人,即数据的归属者;
-
OAuth服务提供商
:控制用户数据的平台(如微信、QQ),包含授权服务器和资源服务器。
二、OAuth 2.0核心授权流程
OAuth 2.0的核心流程本质是“用户授权→客户端获取令牌→令牌访问资源”的闭环,具体可拆解为以下步骤:
- 客户端向用户发起授权请求,明确要访问的资源、操作类型等;
- 用户批准授权(通常是点击“允许”“确认登录”等操作);
- 客户端向授权服务器提交“授权证据”,申请访问令牌(Access Token);
- 授权服务器验证通过后,向客户端返回访问令牌;
- 客户端携带令牌访问资源服务器,获取用户数据;
- 资源服务器验证令牌有效性(是否伪造、过期、越权),验证通过后提供服务。
三、两种主流授权类型
OAuth 2.0有多种授权类型,其中“授权码模式”和“隐式授权类型”是最常用的两种,二者在安全性和适用场景上差异显著。
1. 授权码模式(最安全的主流模式)
授权码模式是服务器端应用的首选,核心特点是“先拿授权码,再换访问令牌”,且令牌交换过程通过服务器间的安全通道完成,避免敏感数据通过浏览器传输。
具体流程:
-
Step 1:授权请求
客户端向授权服务器发送请求,携带客户端ID、回调URI、响应类型(code)、权限范围、防CSRF的state参数等:
GET /authorization?client_id=12345&redirect_uri=https://client-app.com/callback&response_type=code&scope=openid%20profile&state=ae13d489bd00e3c24 HTTP/1.1
Host: oauth-authorization-server.com
-
Step 2:用户登录授权
用户被重定向到OAuth服务商的登录页面,完成登录并确认是否同意客户端的权限请求。
-
Step 3:获取授权码
用户同意后,浏览器重定向到回调URI,授权码以查询参数形式返回:
GET /callback?code=a1b2c3d4e5f6g7h8&state=ae13d489bd00e3c24 HTTP/1.1
Host: client-app.com
-
Step 4:交换访问令牌
客户端通过服务器间POST请求,将授权码、客户端密钥(client_secret)等提交给授权服务器,换取访问令牌:
POST /token HTTP/1.1
Host: oauth-authorization-server.com
…
client_id=12345&client_secret=SECRET&redirect_uri=https://client-app.com/callback&grant_type=authorization_code&code=a1b2c3d4e5f6g7h8
-
Step 5:获取访问令牌
授权服务器验证通过后,返回包含访问令牌的响应:
{
"access_token": "z0y9x8w7v6u5",
"token_type": "Bearer",
"expires_in": 3600,
"scope": "openid profile",
…
}
-
Step 6:调用API获取资源
客户端携带访问令牌调用资源服务器API,获取用户数据:
GET /userinfo HTTP/1.1
Host: oauth-resource-server.com
Authorization: Bearer z0y9x8w7v6u5
2. 隐式授权类型(适用于无后端的应用)
隐式授权类型省略了“授权码”环节,用户同意后直接返回访问令牌,所有通信均通过浏览器重定向完成,安全性较低,仅适用于单页应用、桌面应用等无法存储client_secret的场景。
核心差异:
- 授权请求的response_type参数为“token”;
- 访问令牌以URL片段形式返回(不会发送到服务器,需前端脚本提取);
- 无服务器间的安全通道,令牌易被窃取。
四、OAuth 2.0的潜在安全风险
便捷的背后往往隐藏着安全漏洞,OAuth 2.0的风险主要源于逻辑设计缺陷或配置不当,其中最典型的就是“无确认授权的钓鱼攻击”。
以百度使用微信扫码登录为例:若登录流程中省略了“用户确认授权”步骤(扫码后直接完成登录),攻击者可伪造钓鱼二维码页面,将其发送到社群中诱导用户扫码。用户扫码后,无需确认即可完成授权,攻击者就能直接登录用户的百度账号,窃取相关数据。
除此之外,OAuth 2.0还可能存在这些风险:
- state参数缺失或验证不当,导致CSRF攻击;
- redirect_uri配置不当,允许任意域名回调,导致令牌泄露;
- 隐式授权类型下令牌暴露在浏览器中,易被XSS攻击窃取;
- client_secret泄露,导致攻击者冒充合法客户端获取令牌。
五、防护建议
对开发者:
- 优先使用授权码模式,避免不必要的隐式授权;
- 严格校验redirect_uri,仅允许白名单内的域名回调;
- 强制使用state参数,并验证其唯一性,防止CSRF;
- 妥善存储client_secret,避免前端暴露;
- 增加授权确认环节,扫码/授权后需用户二次确认,避免一键登录的逻辑缺陷。
对普通用户:
- 扫码登录前核实页面真实性,警惕陌生链接/二维码;
- 授权第三方应用时,查看权限范围,仅授予必要权限;
- 发现异常登录及时修改密码,关闭不必要的第三方授权。
参考链接:
https://portswigger.net/web-security/all-labs#oauth-authentication
https://mp.weixin.qq.com/s/lo3HNNTFrYpgP3IVSMw6dg
PART.03
交流群
欢迎大家加入我的交流群:
如果链接过期,可以在公众号后台点击下方菜单“联系交流”添加我wx,备注“加群”
PART.04
往期推荐
往期好文
【效率翻倍】14款渗透必备插件,这款Firefox定制版帮你一键集齐
【AI靶场练习】Gandalf靶场过关wp解析
【AI靶场练习】Prompt Injection lab靶场wp解析
深挖HTTP请求走私漏洞:原理、利用与防御
自开CVE-2025-55182 漏洞检测与利用工具(GUI版)使用指南
实战利器:Burp微信小程序解包插件
Nacos系列漏洞:风险点与综合利用工具详解
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:梦醒安全 m3x1 m3x1《深入理解OAuth 2.0:原理、流程与安全风险》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论