浏览器上的OAuth 2.0恶意拦截器

Question

我正在浏览auth2.0协议1，以及验证密钥RFC 2，它很好地解释了该协议如何防止恶意应用程序监听网络流量。但是，我无法理解auth 2.0协议是如何防止恶意代码在浏览器上工作的。

让我们来看一个证明密钥RFC协议的简单例子。我们生成一个高熵的代码验证器，但是我们必须将它存储在浏览器的某个地方(可能在cookie/ browser的本地存储中)才能再次使用它来获取令牌。现在，如果有恶意代码在浏览器上执行，它总是可以访问cookie/本地存储并获得代码验证器。

是否有协议增强(类似于RFC-7636)，以防止基于cookie的攻击？如果没有，我们如何减轻这种情况？

1

2

Answer 1

OAuth 2.0适用于不同类型的客户端，即网络客户端、浏览器内客户端和本地移动应用程序客户端。

PCKEPCKE2.0机制主要是为本地移动应用程序设计的。它允许公共客户端保护自己不受恶意应用程序和攻击者的攻击，这些应用程序和攻击者可能会获得授权代码。

在处理Web客户端时，不需要PCKE机制，因为可以通过使用具有客户端秘密存储服务器端的机密客户端来防止这些攻击。

在处理浏览器中的客户端时，有您提到的问题，但一般来说，在浏览器中运行恶意代码时，所有的希望都会消失。

总之: PKCE不是一种防御浏览器中跨站点脚本攻击的机制。