Задать вопрос
@Filoret256
начинающий JS developer
javascript

На сколько безопасен workflow oAuth 2?

Всем привет
тут нашел такой workflow авторизации oAuth2
https://github.com/sahat/satellizer/wiki/Login-wit...

Client: Open a popup window via $auth.authenticate('provider name').
Client: Sign in with that provider, if necessary, then authorize the application.
Client: After successful authorization, the popup is redirected back to your app, e.g. localhost:3000, with the code (authorization code) query string parameter.
Client: The code parameter is sent back to the parent window that opened the popup.
Client: Parent window closes the popup and sends a POST request to /auth/provider withcode parameter.
Server: Authorization code is exchanged for access token.
Server: User information is retrived using the access token from Step 6.
Server: Look up the user by their unique Provider ID. If user already exists, grab the existing user, otherwise create a new user account.
Server: In both cases of Step 8, create a JSON Web Token and send it back to the client.
Client: Parse the token and save it to Local Storage for subsequent use after page reload.


у меня вопрос про безопасность такого workflow
ведь на шаге 3 можно сэмулировать ответ от внешнего сайта в дочернем окне
например если делаем авторизацию steam
steam auth возвращает steamcommunity.com/openid/id/7xxxxxxxxxxxxxx
т.е. так же можно передать любой нужный тебе url в родительское окно
или я ошибаюсь? или в этом и есть секьюрность?

можете объяснить?
сколько читаю не могу понять как организовывается безопасность такой авторизации
спасибо за ранее

PS на клиенте angular, на сервере nodejs
  • Вопрос задан
  • 250 просмотров
6 комментариев
Подписаться 1 Оценить 6 комментариев
Решения вопроса 1
@Kano
Вы имеете ввиду подделку authcode который возвращает провайдер авторизации в дочернее окно, которое в свою очередь возвращает его родительскому окну?
Не забывайте что этот код еще нужно обменять на access token используя server to server запрос с подписью приватным ключем.
Подделаете authcode то его просто отвергнет сервер провайдера, а если его перехватить то третья сторона не сможет подписать запрос для получения access token т.к не знает приватного ключа
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
JavaScript разработчик
summer Ярославль
от 100 000 до 140 000 ₽
Junior JavaScript Developer
КРАФТТЕК Санкт-Петербург
от 60 000 до 80 000 ₽
JavaScript разработчик
вАйТи
от 5 000 до 25 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Сканер коэффициентов в букмекерских конторах
20 апр. 2024, в 08:39
100000 руб./за проект
Доработать бота
20 апр. 2024, в 08:24
1500 руб./за проект
Разработать интранет сайт (корпоративный портал)
20 апр. 2024, в 07:24
100000 руб./за проект
Ещё заказы