在 oidc-client 中验证状态和随机数
Validate state and nonce in oidc-client
我的理解是 - oidc-client 生成随机数和状态并将其发送到授权服务器(身份服务器 4)。这个用来防止CSRF攻击,重放攻击。
状态和随机数通过下面的 signinredirect() 示例发送
https://auth.azurewebsites.net/Account/Login?
ReturnUrl=%2Fconnect%2Fauthorize%2Fcallback%3F
client_id%3DLocal%26
redirect_uri%3Dhttp%253A%252F%252Flocalhost%253A4200%252Fauth-callback%252F%26
response_type%3Did_token%2520token%26
scope%3Dopenid%2520profile%2520Api%26
state%3D212ee56661074896aea2b6043d2b8a3f%26
nonce%3D393838b342d543d5910f38cbcab22fa0%26
loginType%3DInternal // my extra params
问题 1 - 回调后状态未定义
状态被添加到回调URL如下
http://localhost:4200/auth-callback#id_token=eyJhbG...
token_type=Bearer
&expires_in=300&
scope=openid%20profile%20Api&
state=155e3e4352814ca48e127547c134144e&
session_state=DPXW-ijMR4ST9iTSxgMwhsLq7aoknEZOnq3aFDooCFg.ifImJurwkwU6M5lwZXCUuw
State 必须存在于用户中。但就我而言,我在回调方法中看到状态未定义
async completeAuthentication() {
await this.manager
.signinRedirectCallback()
.then(x => {
this.user = x;
this.user.state = x.state; // undefined
this.user.session_state = x.session_state;
})
.catch(errorData => {
const expired = errorData;
});
问题--
- 生成后oidc存储状态在哪里?
- 为什么状态未定义?回调后如何检索状态?我猜不是 URL(path)!
- oidc 是否在内部验证状态?如何?在哪里?
问题 2 - nonce
nonce 值在 id_token
中收到
created: 1594171097
extraTokenParams: {}
id: "5cc732d3b7fe4a0abdb371be3bda69a6"
nonce: "17c3f171328b4542a282fcbdd43d6fe4"
我还看到有2-4个oidc用户登录后存储在本地存储中。为什么这样?他们有相同的用户信息,但 ID 和 nonce 不同。我使用 clearstalestate() 对这些都是在每次新登录或刷新后生成的
问题 -
- 为什么2-4个用户信息存储在本地存储?哪种方法生成本地存储用户?
- nonce 值是每个会话还是每个用户请求?
- 生成后的nonce值存储在哪里?
- oidc 是否在内部验证 nonce?在哪里?如果不行怎么办?
所以我已经调试了代码并找到了您要回答的问题,
nonce 值是按会话还是按用户请求?
这不应该被复制,所以它是根据请求生成的,以减轻重放攻击
生成后的nonce值存储在哪里?
存储在会话存储中
oidc 是否在内部验证 nonce?在哪里?如果不是应该怎么做?
是的,它在内部验证。您将不得不查看 oidc-client js。
我从那里提取了一些代码以获得清晰的视图,
_validateIdToken(state, response) {
if (!state.nonce) {
Log.error("ResponseValidator._validateIdToken: No nonce on state");
return Promise.reject(new Error("No nonce on state"));
}
let jwt = this._joseUtil.parseJwt(response.id_token);
if (!jwt || !jwt.header || !jwt.payload) {
Log.error("ResponseValidator._validateIdToken: Failed to parse id_token", jwt);
return Promise.reject(new Error("Failed to parse id_token"));
}
if (state.nonce !== jwt.payload.nonce) {
Log.error("ResponseValidator._validateIdToken: Invalid nonce in id_token");
return Promise.reject(new Error("Invalid nonce in id_token"));
}
}
现在回到状态参数验证。它在 User 对象中不再可用,而是在内部预先验证。
这是 oidc-client js
的代码摘录
processSigninResponse(url, stateStore) {
Log.debug("OidcClient.processSigninResponse");
var response = new SigninResponse(url);
if (!response.state) {
Log.error("OidcClient.processSigninResponse: No state in response");
return Promise.reject(new Error("No state in response"));
}
stateStore = stateStore || this._stateStore;
return stateStore.remove(response.state).then(storedStateString => {
if (!storedStateString) {
Log.error("OidcClient.processSigninResponse: No matching state found in storage");
throw new Error("No matching state found in storage");
}
let state = SigninState.fromStorageString(storedStateString);
Log.debug("OidcClient.processSigninResponse: Received state from storage; validating response");
return this._validator.validateSigninResponse(state, response);
});
}
state 和 nonce 都由 oidc-client 库管理。
可能对授权代码流 + PKCE 有帮助。 PR 仍在等待合并和发布。现在只为 response_type=id_token.
生成随机数
如果我们正在处理授权代码流 + PKCE,目前此库期望随机数出现在状态中并与 Id_token 中出现的随机数相匹配。
https://github.com/IdentityModel/oidc-client-js/pull/1121
下面是来自 lib
的一些代码行
if (state.nonce && !response.id_token) {
_Log.Log.error("ResponseValidator._processSigninParams: Expecting id_token in response");
return Promise.reject(new Error("No id_token in response"));
}
if (!state.nonce && response.id_token) {
_Log.Log.error("ResponseValidator._processSigninParams: Not expecting id_token in response");
return Promise.reject(new Error("Unexpected id_token in response"));
}
并且只有在隐式流时才会生成nonce
var oidc = SigninRequest.isOidc(response_type);
var code = SigninRequest.isCode(response_type);
我的理解是 - oidc-client 生成随机数和状态并将其发送到授权服务器(身份服务器 4)。这个用来防止CSRF攻击,重放攻击。
状态和随机数通过下面的 signinredirect() 示例发送
https://auth.azurewebsites.net/Account/Login?
ReturnUrl=%2Fconnect%2Fauthorize%2Fcallback%3F
client_id%3DLocal%26
redirect_uri%3Dhttp%253A%252F%252Flocalhost%253A4200%252Fauth-callback%252F%26
response_type%3Did_token%2520token%26
scope%3Dopenid%2520profile%2520Api%26
state%3D212ee56661074896aea2b6043d2b8a3f%26
nonce%3D393838b342d543d5910f38cbcab22fa0%26
loginType%3DInternal // my extra params
问题 1 - 回调后状态未定义
状态被添加到回调URL如下
http://localhost:4200/auth-callback#id_token=eyJhbG...
token_type=Bearer
&expires_in=300&
scope=openid%20profile%20Api&
state=155e3e4352814ca48e127547c134144e&
session_state=DPXW-ijMR4ST9iTSxgMwhsLq7aoknEZOnq3aFDooCFg.ifImJurwkwU6M5lwZXCUuw
State 必须存在于用户中。但就我而言,我在回调方法中看到状态未定义
async completeAuthentication() {
await this.manager
.signinRedirectCallback()
.then(x => {
this.user = x;
this.user.state = x.state; // undefined
this.user.session_state = x.session_state;
})
.catch(errorData => {
const expired = errorData;
});
问题--
- 生成后oidc存储状态在哪里?
- 为什么状态未定义?回调后如何检索状态?我猜不是 URL(path)!
- oidc 是否在内部验证状态?如何?在哪里?
问题 2 - nonce
nonce 值在 id_token
中收到created: 1594171097
extraTokenParams: {}
id: "5cc732d3b7fe4a0abdb371be3bda69a6"
nonce: "17c3f171328b4542a282fcbdd43d6fe4"
我还看到有2-4个oidc用户登录后存储在本地存储中。为什么这样?他们有相同的用户信息,但 ID 和 nonce 不同。我使用 clearstalestate() 对这些都是在每次新登录或刷新后生成的
问题 -
- 为什么2-4个用户信息存储在本地存储?哪种方法生成本地存储用户?
- nonce 值是每个会话还是每个用户请求?
- 生成后的nonce值存储在哪里?
- oidc 是否在内部验证 nonce?在哪里?如果不行怎么办?
所以我已经调试了代码并找到了您要回答的问题,
nonce 值是按会话还是按用户请求?
这不应该被复制,所以它是根据请求生成的,以减轻重放攻击
生成后的nonce值存储在哪里?
存储在会话存储中
oidc 是否在内部验证 nonce?在哪里?如果不是应该怎么做?
是的,它在内部验证。您将不得不查看 oidc-client js。 我从那里提取了一些代码以获得清晰的视图,
_validateIdToken(state, response) { if (!state.nonce) { Log.error("ResponseValidator._validateIdToken: No nonce on state"); return Promise.reject(new Error("No nonce on state")); } let jwt = this._joseUtil.parseJwt(response.id_token); if (!jwt || !jwt.header || !jwt.payload) { Log.error("ResponseValidator._validateIdToken: Failed to parse id_token", jwt); return Promise.reject(new Error("Failed to parse id_token")); } if (state.nonce !== jwt.payload.nonce) { Log.error("ResponseValidator._validateIdToken: Invalid nonce in id_token"); return Promise.reject(new Error("Invalid nonce in id_token")); }}
现在回到状态参数验证。它在 User 对象中不再可用,而是在内部预先验证。 这是 oidc-client js
的代码摘录processSigninResponse(url, stateStore) {
Log.debug("OidcClient.processSigninResponse");
var response = new SigninResponse(url);
if (!response.state) {
Log.error("OidcClient.processSigninResponse: No state in response");
return Promise.reject(new Error("No state in response"));
}
stateStore = stateStore || this._stateStore;
return stateStore.remove(response.state).then(storedStateString => {
if (!storedStateString) {
Log.error("OidcClient.processSigninResponse: No matching state found in storage");
throw new Error("No matching state found in storage");
}
let state = SigninState.fromStorageString(storedStateString);
Log.debug("OidcClient.processSigninResponse: Received state from storage; validating response");
return this._validator.validateSigninResponse(state, response);
});
}
state 和 nonce 都由 oidc-client 库管理。
可能对授权代码流 + PKCE 有帮助。 PR 仍在等待合并和发布。现在只为 response_type=id_token.
生成随机数如果我们正在处理授权代码流 + PKCE,目前此库期望随机数出现在状态中并与 Id_token 中出现的随机数相匹配。
https://github.com/IdentityModel/oidc-client-js/pull/1121
下面是来自 lib
的一些代码行if (state.nonce && !response.id_token) {
_Log.Log.error("ResponseValidator._processSigninParams: Expecting id_token in response");
return Promise.reject(new Error("No id_token in response"));
}
if (!state.nonce && response.id_token) {
_Log.Log.error("ResponseValidator._processSigninParams: Not expecting id_token in response");
return Promise.reject(new Error("Unexpected id_token in response"));
}
并且只有在隐式流时才会生成nonce
var oidc = SigninRequest.isOidc(response_type);
var code = SigninRequest.isCode(response_type);