国密OAuth安全技术要求--GM/T 0068 开放的第三方资源授权协议框架

国密的OAuth标准发布的很晚,2019年7月份才发布,标准名称是GM/T 0068 开放的第三方资源授权协议框架。

不熟悉OAuth RFC标准,没有三方登录开发经验的(微博、微信三方登录),阅读该标准可能比较吃力。

国密OAuth安全技术要求

1.通信保密,要求基于国密HTTPS。

2.获取access token接口,需要双向认证。授权服务器对第三方服务器的验证:1.口令2数字证书。

3.对第三方重定向uri要重点保护,防止授权码泄露。1.固定,注册时提供2.强身份认证时,可以不固定。

4.第三方资源重定向接口防止攻击,添加state。防止恶意攻击重定向接口,每一个重定向都会访问授权服务器,造成授权服务消耗资源。

5.令牌加密,先用SM3,再用SM2,最后用SM4加密。

国密OAuth安全技术要求--GM/T 0068 开放的第三方资源授权协议框架_第1张图片

你可能感兴趣的:(认证服务,电子政务,网络安全)