国密的OAuth标准发布的很晚,2019年7月份才发布,标准名称是GM/T 0068 开放的第三方资源授权协议框架。
不熟悉OAuth RFC标准,没有三方登录开发经验的(微博、微信三方登录),阅读该标准可能比较吃力。
国密OAuth安全技术要求
1.通信保密,要求基于国密HTTPS。
2.获取access token接口,需要双向认证。授权服务器对第三方服务器的验证:1.口令2数字证书。
3.对第三方重定向uri要重点保护,防止授权码泄露。1.固定,注册时提供2.强身份认证时,可以不固定。
4.第三方资源重定向接口防止攻击,添加state。防止恶意攻击重定向接口,每一个重定向都会访问授权服务器,造成授权服务消耗资源。
5.令牌加密,先用SM3,再用SM2,最后用SM4加密。
