Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:mrezna_forenzika:oauth_2_0_protokol [2020/01/10 06:23]
abijelic [6.5 Napad umetanja pristupnog tokena] 		racfor_wiki:mrezna_forenzika:oauth_2_0_protokol [2024/12/05 12:24] (trenutno)
Redak 19: Redak 19:
  
 ===== Uvod ===== ===== Uvod =====
 +
 +OAuth je protokol za autorizaciju koji omogućava mnogim aplikacijama prijavu u njih bez potreba registracije. Na tržištu postoje mnoge aplikacije koje koriste OAuth protokol za autorizaciju na google-ov, facebook-ov autorizacijski server. Zato se ovaj seminarski rad bavi proučavanjem tog protokola i proučavanjem njegove sigurnosti pregledom napada na koje nije imun. Prvo će biti uvod o OAuth, a potom će se obraditi napadi.
  
  
Redak 49: Redak 51:
 Objašnjenje koraka: Objašnjenje koraka:
  
-  - Klijent traži autorizaciju od vlasnika resursa. Autorizacijski zahtjev može se poslati direktno vlasniku resursa kako je prikazano na slici 4.1 ili ponajprije indirektno autorizacijskom serveru kao posredniku. +  - Klijent traži autorizaciju od vlasnika resursa. Autorizacijski zahtjev može se poslati direktno vlasniku resursa kako je prikazano na slici 4.1 ili autorizacijskom serveru kao posredniku. 
-  - Klijent prima odobrenje za autorizaciju, koje je prikazano kao uvjerenje od vlasnika resursaTo uvjerenje je moguće dobiti na 4 načina, tj. U OAuth specifikaciji je dokumentirano 4 načina. Tip potpore za autentifikaciju ovisi o metodi koju klijent koristi u zahtjevu za autentifikaciju i naravno omogućenih tipova potpora koje su omogućene na autorizacijskom poslužitelju. +  - Klijent prima odobrenje za autorizaciju. Tu potvrdu je moguće dobiti na 4 načina, tj. U OAuth specifikaciji je dokumentirano 4 načina. Tip potpore za autentifikaciju ovisi o metodi koju klijent koristi u zahtjevu za autentifikaciju i naravno omogućenih tipova potpora koje su omogućene na autorizacijskom poslužitelju. 
-  - Klijent zahtjeva pristupni token autoriziran s autorizacijskog poslužitelja. Zahtjev sadrži i autorizacijski tip potpore.+  - Klijent zahtjeva pristupni token autoriziran s autorizacijskog poslužitelja.
   - Autorizacijski poslužitelj autorizira klijenta i provjerava autorizacijski tip potpore. Ako je sve ispravno vraća pristupni token.   - Autorizacijski poslužitelj autorizira klijenta i provjerava autorizacijski tip potpore. Ako je sve ispravno vraća pristupni token.
   - Klijent zahtjeva zaštićene resurse od resursnog poslužitelja i autorizira zahtjev dodavanjem pristupnog tokena.   - Klijent zahtjeva zaštićene resurse od resursnog poslužitelja i autorizira zahtjev dodavanjem pristupnog tokena.
   - Resursni poslužitelj provjerava pristupni token. Ako je token ispravan za resurse koji se traže, onda vraća te resurse.   - Resursni poslužitelj provjerava pristupni token. Ako je token ispravan za resurse koji se traže, onda vraća te resurse.
-  - Korištenje autorizacijskog poslužitelja kao posrednika za dobivanje potpornog tipa (opisano u 1. i 2. koraku na slici 2.1) od vlasnika resursa je preferirana metoda.+ 
 +Korištenje autorizacijskog poslužitelja kao posrednika za dobivanje potpornog tipa (opisano u 1. i 2. koraku na slici 2.1) od vlasnika resursa je preferirana metoda.
  
 {{  https://assets.digitalocean.com/articles/oauth/abstract_flow.png?direct&561x372  }} {{  https://assets.digitalocean.com/articles/oauth/abstract_flow.png?direct&561x372  }}
  
-Slika 4.1 Prikaz koraka protokola OAuth za autorizaciju+Slika 4.1 Prikaz koraka protokola OAuth za autorizaciju [5]
  
  
Redak 81: Redak 84:
   - <font 12.0pt/Calibri,sans-serif;;inherit;;inherit>Autorizacijski server autorizira klijenta, provjerava autorizacijskih kod i osigurava povratni URI primljen u 3 koraku. Ako je sve ispravno, onda vraća pristupni token i opcionalno osvježavajući token.</font>   - <font 12.0pt/Calibri,sans-serif;;inherit;;inherit>Autorizacijski server autorizira klijenta, provjerava autorizacijskih kod i osigurava povratni URI primljen u 3 koraku. Ako je sve ispravno, onda vraća pristupni token i opcionalno osvježavajući token.</font>
  
-{{https://assets.digitalocean.com/articles/oauth/abstract_flow.png?nolink&561x372}}+{{https://assets.digitalocean.com/articles/oauth/auth_code_flow.png?nolink&600x347}}
  
-<font 12.0pt/Calibri,sans-serif;;inherit;;inherit>slika 5.1.1 način autorizacije autorizaciskim kodom</font>+<font 12.0pt/Calibri,sans-serif;;inherit;;inherit>slika 5.1.1 način autorizacije autorizaciskim kodom [5]</font>
  
  
Redak 106: Redak 109:
 {{https://assets.digitalocean.com/articles/oauth/implicit_flow.png?nolink&715x414}} {{https://assets.digitalocean.com/articles/oauth/implicit_flow.png?nolink&715x414}}
  
-<font 12.0pt/Calibri,sans-serif;;inherit;;inherit>Slika 5.2.1 implicitni način autorizacije</font>+<font 12.0pt/Calibri,sans-serif;;inherit;;inherit>Slika 5.2.1 implicitni način autorizacije [5]</font>
  
  
Redak 123: Redak 126:
 {{https://docs.wso2.com/download/attachments/61670242/OAuth grant types - password.png?nolink&500x358}} {{https://docs.wso2.com/download/attachments/61670242/OAuth grant types - password.png?nolink&500x358}}
  
-<font 12.0pt/Calibri,sans-serif;;inherit;;inherit>Slika 5.3.1 Način autorizacije lozinkom.</font>+<font 12.0pt/Calibri,sans-serif;;inherit;;inherit>Slika 5.3.1 Način autorizacije lozinkom [4]</font>
  
  
Redak 139: Redak 142:
 {{https://docs.wso2.com/download/attachments/92523222/OAuth grant types - client-credential.png?nolink&500x183}} {{https://docs.wso2.com/download/attachments/92523222/OAuth grant types - client-credential.png?nolink&500x183}}
  
-<font 12.0pt/Calibri,sans-serif;;inherit;;inherit>Slika 5.4.1 Način autorizacije sa klijentskim akreditivom</font>+<font 12.0pt/Calibri,sans-serif;;inherit;;inherit>Slika 5.4.1 Način autorizacije sa klijentskim akreditivom[3]</font>
  
  
racfor_wiki/mrezna_forenzika/oauth_2_0_protokol.1578637416.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0