“状态”发生什么攻击？ OpenID Connect服务器流中的参数阻止？ [英] What attack does the "state" parameter in OpenID Connect server flow prevent?

问题描述

不确定哪种CSRF攻击会阻止OpenID Connect服务器流中的状态参数。

Not sure what kind of CSRF attack prevents the "state" parameter in OpenID Connect server flow. Could someone give me an example?

推荐答案

它可以防止攻击者产生虚假的身份验证响应（例如，通过向客户端的重定向URI发送代码作为基本客户端配置文件的一部分。例如：诱骗用户之后，攻击者可以注入被盗的 code ，该代码将以这种方式与当前用户相关联。 state 将请求和响应相关联，因此，在不知道请求中使用的 state 参数的情况下，无法进行未经请求的精心设计的响应请求。

It prevents an attack where the attacker produces a fake authentication response, e.g. as part of the Basic Client Profile by sending a code to the Client's redirect URI. For example: after phishing the user an attacker could inject a stolen code that would be associated with the current user in this way. The state correlates request and response so an unsolicited crafted response is not possible without knowing the state parameter that was used in the request.

这篇关于“状态”发生什么攻击？ OpenID Connect服务器流中的参数阻止？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！