上篇含全系列链接:传送门
如果你有认真读第一篇博客,你可能也会注意到阮老师博客里的回复,有人提到了OAuth标准里有一个参数,叫 state,少了它的话网站就有可能受到CSRF攻击。这个参数到底怎么用呢?为什么少了就有CSRF攻击的漏洞呢?其实这个问题我曾经也纠结过很久,去年读到一篇文章,终于明白CSRF攻击是怎么实现的了——然而那篇文章也找不到了。大体思路其实就是攻击的网站需要支持多账号绑定,然后攻击人把自己的认证码放到被劫持用户的回调中,就可以把自己的账号绑定为被劫持用户,获取网站的个人信息甚至进行交易。为了写这篇博客,刚刚发现Spring的文档里有一篇很不错的说明。
……
“不不不我并不会写Java。”
……
“不不不我一直很敬佩写Java的人,真心的!”
好了,大家都理解 state 参数的重要性以后,问题就来了:我(wa)们(jue)怎(ji)么(ji)加(shu)到(dao)流(di)程(na)里(jia)呢(qiang)?
其实思路很简单,在用户访问登录页的时候,除了返回一个跳转让用户去OAuth平台认证App以外,还要随机生成一个 state 值,写到这个请求的session里。这样在用户被跳转回来以后,发的请求就有两个地方有 state 值——session里和URL请求参数里。服务器在获取用户信息之前要先检查URL请求参数里的 state 和session里的是不是一致,不一致的话基本上就是出现CSRF攻击了。
这就是为什么在Dockerfile里我们装上了lua-resty-session这个库。
好了,又到了贴代码的时间!下面是扩展后的跳转阶段逻辑,主要就是写了一个session。lua-resty-session支持多种session的存储机制,我这里偷懒用了最简单的方法,直接放在Cookie里,具体用法大家可以自己读一下文档,不是很难。然后那个 state 的生成表达式是我网上抄来的,就是Lua里生成随机字符串的一个方法:
local random = require('resty.random')
local str = require('resty.string')
local S = require('resty.session')
function M.get_code(next_page)
local state = str.to_hex(random.bytes(16))
local session = S.start()
if next_page then session.data.next_page = next_page end
session.data.state = state
session:save()
return ngx.redirect(code_url(state))
end
接下来就是检查 state 是不是相同的逻辑了。我们对 oauth.lua 模块的 M.get_profile 做下面的扩展:
local function is_valid_state(state)
if _conf.csrf_unprotect then
return true
else
local session = S.open()
local saved_state = session.data.state
return state == saved_state
end
end
function M.get_profile(code, state)
-- 检查失败的话就直接扔400
if not is_valid_state(state) then
ngx.say('{"msg": "invalid-state"}')
return ngx.exit(ngx.HTTP_BAD_REQUEST)
end
local token = get_token(code)
local profile = get_profile(token)
ngx.say(cjson.encode(profile))
end
好了!核心的逻辑就是这样啦!剩下的就是配置了。大家有没有注意到这里有一个 _conf.csrf_unprotect,这个是为了支持那些不靠谱的OAuth提供方做的一个小配置跳过 state 检查。然后这里要提一下lua-resty-session在代码缓存关掉时候的一个小坑。这里就不展开说明了,大家读一下文档,记得在Nginx配置的server block里加上这么一个变量就好:
server {
listen 80;
lua_ssl_verify_depth 10;
lua_ssl_trusted_certificate '/etc/ssl/certs/ca-certificates.crt';
# Remember to add this line!!!
set $session_secret 'a-highly-secretive-string';
...
这样我们整个OAuth的认证流程就非常完整了!
以下为扩展补充材料,看和不看差不了多少,主要涉及到的方法都来自GitHub上大牛们的慷慨相助:
其实还有一个小事情,虽然问题不大,却让我纠结了非常非常久……LuaJIT在工程上有一个很麻烦的因素,就是我至今没有找到很好的方案来在大项目中做JIT检查。
LuaJIT有一份文档,记录了哪些调用不能被JIT编译。这个东西实在太细碎、太依赖程序员自身的细心程度和工程经验了。在有一个很好的Linter之前,我觉得会是一个工程推广上蛮大的阻碍。
如果在NYI页面里搜Closure的话,会发现闭包会产生FNEW这个字节码调用,还有可能会有UCLO,这两个调用都不能被JIT编译。那我们的 requests.lua 里用的柯里化会不会有问题呢?这里其实不会,因为在生产环境下我们会把代码缓存打开,然后LuaJIT在把闭包函数赋值给 M 上的字段以后,对这个字段的调用就不会再动态生成新的函数了。下面贴上LuaJIT的 v模块和 dump模块对两种调用的dump。
我们有三个文件:
$ cat mylib.lua
local function closure()
return function () end
end
local M = {}
M.dynamic_call = closure
M.closure_free = closure()
return M
$ cat dynamic.lua
local mymod = require('mylib')
for i = 1, 1000000 do mymod.dynamic_call()() end
$ cat fixed.lua
local mymod = require('mylib')
for i = 1, 1000000 do mymod.closure_free() end
如果用LuaJIT的v模块来看JIT trace,就会发现动态生成的闭包函数是没办法JIT编译的,而如果把动态生成后的函数赋值给一个变量再反复调用它,就不会有JIT abort:
$ luajit -jv dynamic.lua
[TRACE --- dynamic.lua:2 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- dynamic.lua:2 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE 1 mylib.lua:4 return]
[TRACE --- mylib.lua:3 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- dynamic.lua:2 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- mylib.lua:3 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- dynamic.lua:2 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- mylib.lua:3 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- dynamic.lua:2 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- mylib.lua:3 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- dynamic.lua:2 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- mylib.lua:3 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- dynamic.lua:2 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- mylib.lua:3 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- dynamic.lua:2 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- mylib.lua:3 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- dynamic.lua:2 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- mylib.lua:3 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- dynamic.lua:2 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- mylib.lua:3 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- dynamic.lua:2 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- mylib.lua:3 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- mylib.lua:3 -- NYI: bytecode 51 at mylib.lua:4]
$ luajit -jv fixed.lua
[TRACE 1 fixed.lua:2 loop]
用dump来看的话就更明显了:
$ luajit -jdump dynamic.lua
---- TRACE 1 start mylib.lua:3
0001 FNEW 0 0 ; mylib.lua:4
---- TRACE 1 abort mylib.lua:4 -- NYI: bytecode 51
---- TRACE 1 start dynamic.lua:2
0008 TGETS 5 0 2 ; "dynamic_call"
0009 CALL 5 2 1
0000 . FUNCF 1 ; mylib.lua:3
0001 . FNEW 0 0 ; mylib.lua:4
---- TRACE 1 abort mylib.lua:4 -- NYI: bytecode 51
---- TRACE 1 start mylib.lua:3
0001 FNEW 0 0 ; mylib.lua:4
---- TRACE 1 abort mylib.lua:4 -- NYI: bytecode 51
...
---- TRACE 1 start mylib.lua:4
0001 RET0 0 1
---- TRACE 1 IR
---- TRACE 1 mcode 29
10f66ffdc mov dword [0x00042410], 0x1
10f66ffe7 xor eax, eax
10f66ffe9 mov ebx, 0x00054acc
10f66ffee mov r14d, 0x00042fa8
10f66fff4 jmp 0x100005ce9
---- TRACE 1 stop -> return
---- TRACE 2 start mylib.lua:3
0001 FNEW 0 0 ; mylib.lua:4
---- TRACE 2 abort mylib.lua:4 -- NYI: bytecode 51
---- TRACE 2 start dynamic.lua:2
0008 TGETS 5 0 2 ; "dynamic_call"
0009 CALL 5 2 1
0000 . FUNCF 1 ; mylib.lua:3
0001 . FNEW 0 0 ; mylib.lua:4
---- TRACE 2 abort mylib.lua:4 -- NYI: bytecode 51
...
$ luajit -jdump fixed.lua
---- TRACE 1 start fixed.lua:2
0008 TGETS 5 0 2 ; "closure_free"
0009 CALL 5 1 1
0000 . FUNCF 1 ; mylib.lua:4
0001 . RET0 0 1
0010 FORL 1 => 0008
---- TRACE 1 IR
0001 int SLOAD #2 CI
0002 > tab SLOAD #1 T
0003 int FLOAD 0002 tab.hmask
0004 > int EQ 0003 +1
0005 p32 FLOAD 0002 tab.node
0006 > p32 HREFK 0005 "closure_free" @0
0007 > fun HLOAD 0006
0008 > fun EQ 0007 mylib.lua:4
0009 + int ADD 0001 +1
0010 > int LE 0009 +1000000
0011 ------ LOOP ------------
0012 + int ADD 0009 +1
0013 > int LE 0012 +1000000
0014 int PHI 0009 0012
---- TRACE 1 mcode 114
f125ff8e mov dword [0x00042410], 0x1
f125ff99 cvttsd2si ebp, [rdx+0x8]
f125ff9e cmp dword [rdx+0x4], -0x0c
f125ffa2 jnz 0xf1250010 ->0
f125ffa8 mov ecx, [rdx]
f125ffaa cmp dword [rcx+0x1c], +0x01
f125ffae jnz 0xf1250010 ->0
f125ffb4 mov eax, [rcx+0x14]
f125ffb7 mov rdi, 0xfffffffb000521a8
f125ffc1 cmp rdi, [rax+0x8]
f125ffc5 jnz 0xf1250010 ->0
f125ffcb cmp dword [rax+0x4], -0x09
f125ffcf jnz 0xf1250010 ->0
f125ffd5 cmp dword [rax], 0x00062160
f125ffdb jnz 0xf1250010 ->0
f125ffe1 add ebp, +0x01
f125ffe4 cmp ebp, 0x000f4240
f125ffea jg 0xf1250014 ->1
->LOOP:
f125fff0 add ebp, +0x01
f125fff3 cmp ebp, 0x000f4240
f125fff9 jle 0xf125fff0 ->LOOP
f125fffb jmp 0xf125001c ->3
---- TRACE 1 stop -> loop
好了,这下我知道的、能勉强算点干货的东西,就全写完了