基于OAuth協(xié)議的天翼開放平臺安全性淺析

［徐博文　賈曼　曹維華　朱華虹］

?

基于OAuth協(xié)議的天翼開放平臺安全性淺析

［徐博文賈曼曹維華朱華虹］

摘要OAuth協(xié)議是當(dāng)前互聯(lián)網(wǎng)最流行的開放授權(quán)標(biāo)準(zhǔn)。以天翼開放平臺為例，介紹了OAuth2.0協(xié)議的工作原理，重點(diǎn)分析了OAuth2.0安全問題的兩個焦點(diǎn)，一是技術(shù)應(yīng)用漏洞，即由于授權(quán)場景的多樣性導(dǎo)致部署時產(chǎn)生邏輯和代碼設(shè)計(jì)漏洞，二是業(yè)務(wù)應(yīng)用漏洞，即由于安全機(jī)制不夠完善以及協(xié)議涉及的實(shí)體之間無法有效配合導(dǎo)致業(yè)務(wù)應(yīng)用層面的安全性降低。

關(guān)鍵詞：OAuth2.0 授權(quán)協(xié)議 天翼開放平臺 應(yīng)用漏洞

徐博文

中國電信股份有限公司廣東研究院，主要研究方向?yàn)镮P網(wǎng)絡(luò)通信技術(shù)。

賈曼

中國電信集團(tuán)公司網(wǎng)絡(luò)運(yùn)行維護(hù)事業(yè)部數(shù)據(jù)處，主要研究方向?yàn)镮P網(wǎng)絡(luò)通信技術(shù)。

曹維華

中國電信股份有限公司廣東研究院，主要研究方向?yàn)镮P技術(shù)、移動互聯(lián)網(wǎng)技術(shù)。

朱華虹

中國電信股份有限公司廣東研究院，主要研究方向?yàn)镮P技術(shù)、SDN技術(shù)。

1　引言

中國電信天翼開放平臺為合作伙伴提供統(tǒng)一的開放合作服務(wù)門戶（Open.189.cn），打造統(tǒng)一的運(yùn)營商級能力開放合作品牌和入口，平臺于2012年3月27日正式上線，基于OAuth協(xié)議提供授權(quán)服務(wù)，支持版本為2.0。OAuth（Open Authorization，即開放授權(quán)）為用戶資源的授權(quán)提供了一個安全、開放而又簡易的標(biāo)準(zhǔn)，OAuth授權(quán)不會使第三方觸及到用戶的帳號信息（如用戶名與密碼），即第三方無需使用用戶的用戶名與密碼就可以申請獲得該用戶資源的授權(quán)。OAuth提供的是可信的第三方認(rèn)證，既能通過其……