OAuth 核心 1.0 的修订版 a 如何解决会话固定问题?
How did Revision a to the OAuth Core 1.0 address the session fixation issue?
阅读 OAuth Core 1.0 specification, it looks like the session fixation attack 是可能的,因为 OAuth 1.0 允许消费者 (客户端) 仅在 [=24= 之前获取请求令牌] 用户 (资源所有者) 通过服务提供商 (资源服务器/授权服务器) 验证了自己并授权了请求。
修订版 a 声称已解决会话固定问题。
但我找不到关于如何操作的简明摘要。此外,我不能轻易理解this summary。有人可以指出我的摘要并确认我的上述假设是否正确吗?
会话固定问题无法通过更改协议本身来解决。
规范已更改,以警告实施者可能发生的攻击,并为他们提供实施预防措施的指导。这些测量超出了协议本身的范围。它们是安全注意事项和指南。
阅读 OAuth Core 1.0 specification, it looks like the session fixation attack 是可能的,因为 OAuth 1.0 允许消费者 (客户端) 仅在 [=24= 之前获取请求令牌] 用户 (资源所有者) 通过服务提供商 (资源服务器/授权服务器) 验证了自己并授权了请求。
修订版 a 声称已解决会话固定问题。
但我找不到关于如何操作的简明摘要。此外,我不能轻易理解this summary。有人可以指出我的摘要并确认我的上述假设是否正确吗?
会话固定问题无法通过更改协议本身来解决。
规范已更改,以警告实施者可能发生的攻击,并为他们提供实施预防措施的指导。这些测量超出了协议本身的范围。它们是安全注意事项和指南。