作為第三方應用，為了提升用戶體驗，往往會提供第三方社交賬號登錄或者綁定的功能，這背后使用到的關鍵技術是OAuth認證。想要在自己的應用里集成OAuth不是難事兒，各大社交網站都提供了詳盡的文檔指南。

OAuth的復雜度比較高，有不少安全方面的坑，開發者在使用過程中一不注意可能就會掉進去，比如說不正確的使用OAuth2可能會遭遇到CSRF攻擊。本文將對這個安全風險做一個通俗易懂的解釋。

OAuth2 授權模式回顧

在開始之前，讓我們先來回顧一下OAuth2中最典型的Authorization Code 授權模式，其大致流程如下：

OAuth2 Authorization Code Flow

我們把OAuth2的整個認證過程大致分為三個階段。

• 第一階段主要是向用戶取得授權許可，對應圖中的第1、2、3步;
• 第二階段主要是申請訪問令牌(access_token)，對應圖中的第4、5步;
• 第三階段就是使用access_token獲取用戶數據。

這一過程中涉及了不少敏感參數和數據，例如client_secret相當于是第三方應用自己的密碼，access_token某種程度上來講就是用戶的session id。由于這些參數以及數據極其特殊，我們當然得確保它們的安全性，HTTPS加密傳輸以及安全存儲是必不可少的防護手段。不過僅僅做到這些是遠遠不夠的，在這個流程里存在一個弱點，容易被攻擊者利用進行CSRF攻擊。

針對OAuth2的CSRF攻擊

1. 攻擊流程

讓我們來看一個針對OAuth2的CSRF攻擊的例子。假設有用戶張三，和攻擊者李四，還有一個第三方Web應用Tonr，它集成了第三方社交賬號登錄，并且允許用戶將社交賬號和Tonr中的賬號進行綁定。此外還有一個OAuth2服務提供者Sparklr。

模擬攻擊案例中涉及的角色

Step 1. 攻擊者李四登錄Tonr網站，并且選擇綁定自己的Sparklr賬號。

Step 2. Tonr網站將李四重定向到Sparklr，由于他之前已經登錄過Sparklr，所以Sparklr直接向他顯示“是否授權Tonr訪問”的頁面。

Step 3. 李四在點擊”同意授權“之后，截獲Sparklr服務器返回的含有Authorization Code參數的HTTP響應。

Step 4. 李四精心構造一個Web頁面，它會觸發Tonr網站向Sparklr發起令牌申請的請求，而這個請求中的Authorization Code參數正是上一步截獲到的code。

Step 5. 李四將這個Web頁面放到互聯網上，等待或者誘騙受害者張三來訪問。

Step 6. 張三之前登錄了Tonr網站，只是沒有把自己的賬號和其他社交賬號綁定起來。在張三訪問了李四準備的這個Web頁面后，令牌申請流程在張三的瀏覽器里被順利觸發，Tonr網站從Sparklr那里獲取到access_token，但是這個token以及通過它進一步獲取到的用戶信息卻都是攻擊者李四的。

Step 7. Tonr網站將李四的Sparklr賬號同張三的Tonr賬號關聯綁定起來，從此以后，李四就可以用自己的Sparklr賬號通過OAuth登錄到張三在Tonr網站中的賬號，堂而皇之的冒充張三的身份執行各種操作。

等等，這一切發生得太快，還沒看清楚李四怎么就登錄到張三的賬號里去了。沒關系，讓我們從幾個不同的角度來看看這當中發生了什么。

[[199150]]

2. 受害者張三(Resource Owner)視角

受害者張三訪問了一個Web頁面，然后，就沒有然后了，他在Tonr網站上的賬號就和攻擊者李四在Sparklr上的賬號綁定到了一起。偽造的請求是經過精心構造的，令牌申請這一過程在張三的瀏覽器里是非常隱蔽的被觸發的，換句話講就是，他根本不知道這背后發生了什么。

3. Tonr網站(Client)視角

從Tonr網站來看，它收到的所有請求看上去都是正常的。首先它收到了一個HTTP請求，其代表著當前用戶張三在Sparklr網站上已經做了“同意授權”操作。其內容如下：

GET /bindingCallback?code=AUTHORIZATION_CODE 

不過需要注意的是，URL里的code不是當前受害者張三的Authorization Code，而是攻擊者李四的。

當Tonr收到這樣的請求時，它以為張三已經同意授權(但實際上這個請求是李四偽造的)，于是就發起后續的令牌申請請求，用收到的Authorization Code向Sparklr換取access_token，只不過最后拿到的是攻擊者李四的 access_token。

最后，Tonr網站把攻擊者李四的access_token和當前受害者張三在Tonr網站上的賬號進行關聯綁定。

4. Sparklr網站(OAuth2服務提供者)視角

Sparklr網站也是一臉茫然的樣子，因為在它看來，自己收到的授權請求，以及后續的令牌申請請求都是正常的，或者說它無法得知接收到的這些請求之間的關聯關系，而且也無法區別出這些請求到底是來自張三本人，還是由李四偽造出來的。因此只要自己收到的參數是正確有效的，那就提供正常的認證服務，僅此而已。

5. 攻擊者李四視角

李四偽造了一個用戶授權成功的請求，并且將其中的Authorization Code參數替換成了自己提前獲取到的code。這樣，當受害者張三的瀏覽器被欺騙從而發起令牌申請請求時，實際上是在用張三在Tonr網站上的賬號和李四在Sparklr網站上的賬號做綁定。

攻擊完成后，李四在Tonr網站上可以通過自己在Sparklr網站的賬號進行登錄，而且登錄進入的是張三在Tonr網站上的賬號。而張三通過自己在Tonr網站上的賬號登錄進去之后，看到的是李四在Sparklr網站上的數據。

6. 上帝視角

從整體上來看，這次攻擊的時序圖應該是下面這個樣子的：

攻擊時序圖示

漏洞的本質

這個問題的關鍵點在于，OAuth2的認證流程是分為好幾步來完成的，在圖1中的第4步，第三方應用在收到一個GET請求時，除了能知道當前用戶的cookie，以及URL中的Authorization Code之外，難以分辨出這個請求到底是用戶本人的意愿，還是攻擊者利用用戶的身份偽造出來的請求。 于是乎，攻擊者就能使用移花接木的手段，提前準備一個含有自己的Authorization Code的請求，并讓受害者的瀏覽器來接著完成后續的令牌申請流程。

前提條件

盡管這個攻擊既巧妙又隱蔽，但是要成功進行這樣的CSRF攻擊也是需要滿足一定前提條件的。

首先，在攻擊過程中，受害者張三在Tonr網站上的用戶會話(User Session)必須是有效的，也就是說，張三在受到攻擊前已經登錄了Tonr網站。

其次，整個攻擊必須在短時間內完成，因為OAuth2提供者頒發的Authorization Code有效期很短，OAuth2官方推薦的時間是不大于10分鐘，而一旦Authorization Code過期那么后續的攻擊也就不能進行下去了。

最后，一個Authorization Code只能被使用一次，如果OAuth2提供者收到重復的Authorization Code，它會拒絕當前的令牌申請請求。不止如此，根據OAuth2官方推薦，它還可以把和這個已經使用過的Authorization Code相關聯的access_token全部撤銷掉，進一步降低安全風險。

[[199151]]

防御辦法

要防止這樣的攻擊其實很容易，作為第三方應用的開發者，只需在OAuth認證過程中加入state參數，并驗證它的參數值即可。具體細節如下：

(1) 在將用戶重定向到OAuth2的Authorization Endpoint去的時候，為用戶生成一個隨機的字符串，并作為state參數加入到URL中。

(2) 在收到OAuth2服務提供者返回的Authorization Code請求的時候，驗證接收到的state參數值。如果是正確合法的請求，那么此時接受到的參數值應該和上一步提到的為該用戶生成的state參數值完全一致，否則就是異常請求。

(3) state參數值需要具備下面幾個特性：

• 不可預測性：足夠的隨機，使得攻擊者難以猜到正確的參數值
• 關聯性：state參數值和當前用戶會話(user session)是相互關聯的
• 唯一性：每個用戶，甚至每次請求生成的state參數值都是唯一的
• 時效性：state參數一旦被使用則立即失效

總結

要避免遭受本文提到的CSRF攻擊問題，需要第三方應用正確的使用state參數，然而縱觀各大OAuth服務提供者，在其開發文檔里都沒有明確把state參數和CSRF攻擊聯系起來，僅僅只是像下面這樣一句話帶過：

讓事情變得更糟糕的是，state是可選參數，因此更容易被開發者忽略，造成安全風險。此外，本文中的攻擊非常巧妙，可以悄無聲息的攻陷受害者的賬號，難以被察覺到。

作為第三方應用的開發者，我們除了參考OAuth2服務提供者的開發文檔之外，還應當加深自己對OAuth2的理解，盡可能的避開這些安全的坑。 而作為OAuth2服務提供者，也應當承擔起提醒開發者注意防范安全風險的責任。

【本文是51CTO專欄作者“ThoughtWorks”的原創稿件，微信公眾號：思特沃克，轉載請聯系原作者】

戳這里，看該作者更多好文