基于OAuth2.0协议的开放平台中授权机制的研究

摘要

21世纪互联网的发展进入了一个信息共享的时代，公众平台的出现方便各厂商能够将自己的信息资源打包并以接口的形式向外界提供服务，使得信息共享更加便捷。在国内，微博、微信、百度等开放平台的出现，使“第三方”认证授权登录广泛应用到各个领域，因此，OAuth协议作为各开放平台中广泛使用的认证授权系统的标准协议而备受关注。
　　本文正是对现今各开放平台中广泛使用的OAuth2.0协议进行研究分析，主要包括以下工作：
　　首先，研究OAuth2.0协议的授权原理和分析授权流程。介绍了OAuth2.0协议的四种授权类型：授权码授权、隐式授权、资源所有者密码凭证授权和客户端凭证授权。文章主要选择流程最为完整、功能最全的授权码模式进行研究，分析了协议的形式化流程，研究协议的认证授权原理。
　　其次，对OAuth2.0协议的安全性问题进行分析。基于Dolev-Yao攻击者模型，借助AVISPA模型检测工具对OAuth2.0协议形式化建模分析，查找协议中存在的攻击模式。发现OAuth2.0协议在具体的实现过程中，容易遭受钓鱼攻击、中间人攻击和CSRF攻击等，接着采用形式化语言描述了详细的攻击过程，并分析了这些安全性问题产生的原因，这些为本文提出OAuth2.0授权机制的改进方案奠定了重要基础。
　　再次，在安全性分析的基础上，针对OAuth2.0协议在实现过程中经常遇到的钓鱼攻击问题提出了改进方案，并对改进方案做了有效性评估。为了抵抗网络中最常见的钓鱼攻击，研究提出授权机制中通过引入 OTP和三方协商的方式来防止攻击者伪装成授权服务器；为避免原始密码被盗引入了验证网关（VGateway）来安全生成用户凭证。改进后的OAuth2.0授权机制使得攻击者很难通过网络浏览器或移动设备进行钓鱼攻击。
　　最后，将改进后的OAuth2.0授权机制的架构进行编程实现。详细给出了各功能模块的具体实现，基于Spring Security框架，并运用Java语言编程实现改进后的OAuth2.0授权机制中的各角色：资源拥有者、客户端应用、授权服务器、资源服务器及验证网关之间的交互，完成对用户身份的认证和用户授权功能，并给出测试结果展示。
　　在本文的结尾，对全文的工作进行总结，并给出下一步的研究方向。

目录

声明

插图索引

表格索引

符号对照表

缩略语对照表

第一章 绪论

1.1 研究背景与意义

1.2 国内外研究现状

1.3 论文主要工作

1.4 论文组织结构

第二章 基础知识

2.1 Web安全技术

2.2 数字签名技术

2.3开放授权OAuth2.0协议

2.4 本章小结

第三章OAuth2.0协议的安全性分析

3.1 OAuth2.0协议的两种授权模式

3.2 OAuth2.0协议的安全性分析

3.3 OAuth2.0协议安全问题

3.4 漏洞原因分析

3.5 本章小结

第四章 OAuth2.0授权机制的改进方案

4.1改进OAuth2.0授权机制的介绍

4.2 功能模块的设计

4.3改进OAuth2.0授权机制有效性评估

4.4 本章小结

第五章 改进OAuth2.0授权机制方案的实现

5.1方案总体架构

5.2 开发环境

5.3服务器搭建

5.4功能模块实现

5.5 测试结果

5.6 本章小结

第六章 总结与展望

6.1 工作总结

6.2 进一步工作

参考文献

致谢

作者简介