MK
摩柯社区 - 一个极简的技术知识社区
AI 面试

OAuth 2.0中的授权撤销机制

2023-04-184.3k 阅读

OAuth 2.0概述

OAuth 2.0是一个开放标准,旨在解决第三方应用如何安全地获取用户资源的授权问题,而无需直接获取用户的登录凭证。OAuth 2.0涉及多个角色,包括资源所有者(用户)、客户端(第三方应用)、授权服务器和资源服务器。其核心流程如下:

  1. 用户请求访问客户端应用:用户在浏览器中访问客户端应用,客户端应用发现需要访问用户在资源服务器上的某些资源。
  2. 重定向到授权服务器:客户端应用将用户重定向到授权服务器,请求授权。
  3. 用户认证与授权:授权服务器对用户进行身份验证,并询问用户是否授权客户端应用访问其资源。
  4. 授权码发放:如果用户授权,授权服务器会向客户端应用发放一个授权码。
  5. 换取访问令牌:客户端应用使用授权码向授权服务器请求访问令牌。
  6. 访问资源:客户端应用使用访问令牌访问资源服务器上的用户资源。

OAuth 2.0中的授权撤销机制的重要性

在OAuth 2.0框架下,授权撤销机制是保障用户数据安全和隐私的关键环节。随着用户授予第三方应用越来越多的访问权限,当用户不再信任某个应用或者不再希望该应用继续访问自己的资源时,能够方便且有效地撤销授权就显得尤为重要。如果没有授权撤销机制,即使应用不再使用或者用户对其安全性产生怀疑,应用依然可以凭借之前获取的访问令牌持续访问用户资源,这无疑给用户数据带来了巨大的风险。同时,对于企业而言,当员工离职等情况发生时,撤销其关联应用的授权也成为了企业数据安全管理的必要操作。

授权撤销的场景

  1. 用户主动撤销:用户在使用第三方应用一段时间后,出于隐私保护、应用不再使用等原因,主动要求撤销该应用对自己资源的访问授权。例如,用户发现某个社交媒体应用频繁推送广告且存在隐私政策不透明的情况,决定撤销其对自己照片、联系人等资源的访问权限。
  2. 管理员强制撤销:在企业或组织环境中,管理员可能因为安全策略变更、应用违规等原因,强制撤销某个或某些用户对特定第三方应用的授权。比如,企业发现某个第三方办公应用存在数据泄露风险,管理员统一撤销所有员工对该应用的授权。
  3. 基于时间或事件触发的撤销:某些授权可能设置了有效期,当有效期结束时,授权自动撤销。或者当特定事件发生,如用户密码重置、账号被盗用等,相关的授权也应被撤销。

授权撤销机制的原理

OAuth 2.0并没有对授权撤销机制进行详细的标准化定义,但在实践中,主要围绕着对访问令牌(Access Token)和刷新令牌(Refresh Token)的管理来实现授权撤销。

访问令牌的撤销

访问令牌是客户端应用用于访问资源服务器资源的凭证。撤销访问令牌意味着资源服务器不再接受该令牌进行资源访问。一种常见的方式是在资源服务器端维护一个已撤销令牌的列表,当接收到请求时,首先检查请求中的访问令牌是否在撤销列表中。如果在,则拒绝请求。另外,也可以通过在令牌本身中加入有效期或者版本号等机制,当需要撤销时,更新相关信息,使得旧令牌失效。

刷新令牌的撤销

刷新令牌用于在访问令牌过期时获取新的访问令牌。撤销刷新令牌同样重要,因为持有刷新令牌的客户端应用可以持续获取新的访问令牌从而保持对资源的访问。与访问令牌类似,也可以通过维护撤销列表等方式来撤销刷新令牌。当刷新令牌被撤销后,客户端应用使用该刷新令牌获取新访问令牌的请求将被拒绝。

实现授权撤销机制的代码示例

以下以Python的Flask框架结合SQLAlchemy作为数据库操作工具为例,展示如何实现OAuth 2.0中的授权撤销机制。假设我们有一个简单的OAuth 2.0服务器,负责发放访问令牌和刷新令牌,并实现撤销功能。

环境搭建

首先,确保安装了必要的库:

pip install flask sqlalchemy

数据库模型定义

from flask_sqlalchemy import SQLAlchemy

app = Flask(__name__)
app.config['SQLALCHEMY_DATABASE_URI'] ='sqlite:///oauth.db'
db = SQLAlchemy(app)


class Token(db.Model):
    id = db.Column(db.Integer, primary_key=True)
    access_token = db.Column(db.String(255), unique=True)
    refresh_token = db.Column(db.String(255), unique=True)
    revoked = db.Column(db.Boolean, default=False)

生成令牌与保存

import secrets


def generate_tokens():
    access_token = secrets.token_urlsafe(32)
    refresh_token = secrets.token_urlsafe(32)
    token = Token(access_token=access_token, refresh_token=refresh_token)
    db.session.add(token)
    db.session.commit()
    return access_token, refresh_token

撤销令牌

@app.route('/revoke_token', methods=['POST'])
def revoke_token():
    data = request.get_json()
    token_type = data.get('token_type')
    token = data.get('token')
    if token_type == 'access_token':
        db_token = Token.query.filter_by(access_token=token).first()
    elif token_type =='refresh_token':
        db_token = Token.query.filter_by(refresh_token=token).first()
    else:
        return jsonify({'error': 'invalid token type'}), 400
    if db_token:
        db_token.revoked = True
        db.session.commit()
        return jsonify({'message': 'token revoked successfully'})
    else:
        return jsonify({'error': 'token not found'}), 404

资源访问验证

@app.route('/protected_resource', methods=['GET'])
def protected_resource():
    access_token = request.headers.get('Authorization')
    if not access_token:
        return jsonify({'error': 'access token missing'}), 401
    access_token = access_token.replace('Bearer ', '')
    db_token = Token.query.filter_by(access_token=access_token, revoked=False).first()
    if not db_token:
        return jsonify({'error': 'invalid or revoked access token'}), 401
    return jsonify({'message': 'access granted to protected resource'})

完整代码整合

from flask import Flask, request, jsonify
from flask_sqlalchemy import SQLAlchemy
import secrets

app = Flask(__name__)
app.config['SQLALCHEMY_DATABASE_URI'] ='sqlite:///oauth.db'
db = SQLAlchemy(app)


class Token(db.Model):
    id = db.Column(db.Integer, primary_key=True)
    access_token = db.Column(db.String(255), unique=True)
    refresh_token = db.Column(db.String(255), unique=True)
    revoked = db.Column(db.Boolean, default=False)


def generate_tokens():
    access_token = secrets.token_urlsafe(32)
    refresh_token = secrets.token_urlsafe(32)
    token = Token(access_token=access_token, refresh_token=refresh_token)
    db.session.add(token)
    db.session.commit()
    return access_token, refresh_token


@app.route('/revoke_token', methods=['POST'])
def revoke_token():
    data = request.get_json()
    token_type = data.get('token_type')
    token = data.get('token')
    if token_type == 'access_token':
        db_token = Token.query.filter_by(access_token=token).first()
    elif token_type =='refresh_token':
        db_token = Token.query.filter_by(refresh_token=token).first()
    else:
        return jsonify({'error': 'invalid token type'}), 400
    if db_token:
        db_token.revoked = True
        db.session.commit()
        return jsonify({'message': 'token revoked successfully'})
    else:
        return jsonify({'error': 'token not found'}), 404


@app.route('/protected_resource', methods=['GET'])
def protected_resource():
    access_token = request.headers.get('Authorization')
    if not access_token:
        return jsonify({'error': 'access token missing'}), 401
    access_token = access_token.replace('Bearer ', '')
    db_token = Token.query.filter_by(access_token=access_token, revoked=False).first()
    if not db_token:
        return jsonify({'error': 'invalid or revoked access token'}), 401
    return jsonify({'message': 'access granted to protected resource'})


if __name__ == '__main__':
    db.create_all()
    app.run(debug=True)

在上述代码中,我们定义了一个简单的数据库模型Token来存储访问令牌和刷新令牌以及它们的撤销状态。generate_tokens函数用于生成新的令牌并保存到数据库。revoke_token函数实现了根据传入的令牌类型和令牌值来撤销相应的令牌,将其revoked字段设置为Trueprotected_resource函数则在处理资源访问请求时,检查访问令牌是否存在且未被撤销,以决定是否允许访问。

不同OAuth 2.0实现中的授权撤销

OAuth 2.0框架下的常见实现

在许多OAuth 2.0的开源实现中,如Spring Security OAuth、IdentityServer4等,都提供了对授权撤销机制的支持。

  1. Spring Security OAuth:Spring Security OAuth提供了丰富的扩展点来实现授权撤销。可以通过自定义TokenStore来管理令牌的撤销。例如,可以在JdbcTokenStore的基础上进行扩展,增加对已撤销令牌的记录和查询功能。当需要撤销令牌时,在数据库中标记相应的令牌记录为已撤销状态。在资源服务器验证令牌时,通过查询数据库判断令牌是否已被撤销。
  2. IdentityServer4:IdentityServer4同样支持授权撤销。它提供了TokenRevocationEndpoint来处理令牌撤销请求。通过配置TokenRevocationService可以自定义撤销逻辑。例如,可以结合Redis等缓存来存储已撤销的令牌,提高验证效率。在接收到撤销请求时,将相应的访问令牌和刷新令牌添加到缓存中标记为已撤销,资源服务器在验证令牌时首先检查缓存中是否存在该令牌且标记为已撤销。

与其他认证授权框架的对比

与一些传统的认证授权框架如Kerberos相比,OAuth 2.0的授权撤销机制更加灵活和面向互联网应用场景。Kerberos主要用于企业内部网络环境,其票据(类似OAuth中的令牌)的撤销通常依赖于票据分发服务器(KDC)的集中管理和票据的有效期设置。而OAuth 2.0由于涉及到不同的第三方应用和分布式的资源服务器,授权撤销需要更加细致的设计,如通过维护撤销列表、令牌版本控制等方式来确保在不同的服务器之间有效地撤销授权。

授权撤销机制的安全考量

防止重放攻击

在实现授权撤销机制时,要防止重放攻击。例如,攻击者可能截获撤销请求并多次重放,导致合法的令牌被重复撤销。可以通过在撤销请求中加入一次性的随机数(Nonce)或者时间戳等方式来解决。资源服务器在接收到撤销请求时,检查Nonce或时间戳是否合法,避免重复处理相同的撤销请求。

保护撤销接口安全

撤销接口本身需要严格的安全保护。因为一旦该接口被恶意利用,攻击者可以随意撤销用户的授权,影响用户的正常使用。接口应该采用安全的通信协议(如HTTPS),并且对请求进行身份验证和授权,只有授权的客户端或用户才能发起撤销请求。同时,要对请求频率进行限制,防止恶意的批量撤销请求。

令牌存储安全

无论是已撤销还是未撤销的令牌,其存储都必须保证安全。数据库中的令牌记录应该进行加密存储,防止数据库泄露导致令牌被窃取。对于使用缓存来存储已撤销令牌的情况,也要确保缓存的安全性,如设置合理的访问权限和加密传输。

授权撤销机制的性能优化

缓存的应用

在验证令牌是否被撤销时,可以使用缓存来提高性能。例如,将已撤销的令牌存储在Redis缓存中,资源服务器在验证令牌时首先查询缓存。如果缓存中存在该令牌且标记为已撤销,则直接拒绝请求,避免每次都查询数据库。这样可以大大减少数据库的压力,提高验证效率。

批量处理

对于大规模的授权撤销场景,如企业管理员批量撤销多个用户对某个应用的授权,可以采用批量处理的方式。避免逐个处理撤销请求,减少数据库的I/O操作次数。可以通过事务机制来确保批量操作的原子性,要么全部撤销成功,要么全部失败回滚。

异步处理

在某些情况下,如用户量较大且撤销请求频繁时,可以考虑将撤销操作异步化。例如,使用消息队列(如RabbitMQ、Kafka等)来接收撤销请求,后台的工作线程从队列中取出请求并处理。这样可以避免撤销操作直接阻塞主业务流程,提高系统的响应速度。同时,消息队列还可以对请求进行缓冲,防止瞬间大量请求对系统造成冲击。