PHP 也有 Day #48：我是誰？我在哪？

我是誰︖我在哪︖ 聊聊 Web 的身分驗證

ABOUT MILES CURRENT Senior Developer @ 104 Corp. Volunteer @
DevOps Taiwan TAG PHP, Docker, DevOps [email protected] MilesChou

今天將會聊些什麼 Terminology Scenario Native App Security Topic

Terminology Authentication Entity Identiﬁer

Server User

Server User Entity

Server User Entity Identiﬁer

Server User Entity Identiﬁer Miles Miles

Server User Entity Identiﬁer Authentication Miles Miles

基本的安全問題請求真的是該使⽤者本身的意願所發出的請求嗎︖ 有沒有可能被竄改︖有沒有機會造假︖ 回應真的是伺服器的回應嗎︖ 有沒有可能被竄改︖有沒有機會造假︖

Scenario 從前從前，有個網站提供了很多服務

安安你好，第⼀一次來來嗎？第⼀一次來來的都是絕緣⼈人哦！為了了讓你不再絕緣，你先跟我講好，要怎麼驗證你是誰！

註冊的⽬的使⽤者提供憑證資訊，如帳號、密碼、etc 伺服器提供 metadata

註冊的⽅法線上註冊私訊註冊線下註冊

User Login 身為⼀個使⽤者，我希望能使⽤網站提供的服務

安安你好，第⼆二次來來嗎？站著！⼝口令？誰？我知道你是麥爾斯了了，可是我⾦金金⿂魚腦！ 24 分鐘內記得過來來刷新⼀一下！

User Login Challenge State Management Mechanism

實作 Laravel Auth Zend Authentication

Server-side Authentication 身為⼀個伺服器，我希望能呼叫網站提供的 API

How about Authorization?

Server-side Authentication Trusted Server VPN、鎖 IP、發 token、etc. OAuth 2.0 Facebook、Google、GitHub、AWS、etc.

Terminology - OAuth 2.0 Authorization Resource Owner Resource Server Client
Authorization Server

Authorization Server Resource Owner Resource Server Client Authorization Request

Authorization Server Resource Owner Resource Server Client Authorization Grant

Authorization Server Resource Owner Resource Server Client Access Token

Authorization Server Resource Owner Resource Server Client Protected Resource

微信偷連結 Facebook︖ 到底花⽣省魔術︖請看 VCR！

微信偷連結 Facebook︖ Facebook 實作了 OAuth 2.0 微信 App 為 Client
授權範圍

Third-party Login 身為⼀個外部網站，我希望能透過貴站做身分驗證

安安你好，你是麥爾斯的跟班嗎？有刷過麥爾斯的臉就可以進場了了哦！但過⼀一回兒後，我還會再跟麥爾斯確認，你還是不是他的跟班

Third-party Login OAuth 2.0 Facebook, Google, GitHub, etc. OpenID Connect
AppleID, Line, Google, Auth0, etc. SAML GitHub, Google, etc.

Server User Provider Authentication Check

OpenID Connect

OpenID Connect Based-on OAuth 2.0 Use JWT on ID token
Discovery Dynamic Client Registration

Authorization Server Client End User Login

Authorization Server Client End User Redirect to Authorization Server scope=openid

Authorization Server Client End User Authorization Request

GET / POST

Authorization Server Client End User Challenge

Authorization Server Client End User User Credentials

Authorization Server Client End User Authorization Request

Authorization Server Client End User Authorization Grant

Authorization Server Client End User Redirect to Client with Code

Authorization Server Client End User Use Code to get Access
Token ID Token

ID token

簽章圖⽚來源：https://en.wikipedia.org/wiki/File:Private_key_signing.svg

簽章演算法 HS256 - HMVC using SHA-256 Line RS256 - RSASSA-PKCS1-v1_5
using SHA-256 AppleID, Google ES256 - ECDSA using P-256 and SHA-256 AppleID

Discovery AppleID Line Google

⽤用講的不就很會？做⼀一個來來看看啊！

Native App

先講結論不要⽤嵌入式 User Agent，即麻煩又危險可使⽤ PKCE 來解決這個問題

Chrome on Mobile 圖⽚來源：https://www.ory.sh/oauth2-for-mobile-app-spa-browser/

App on Mobile 圖⽚來源：https://www.ory.sh/oauth2-for-mobile-app-spa-browser/

Security Topic

基本 TLS CSRF XSS CSP Same-origin Policy

HTML 登入無標準協定網路釣⿂

Covert Redirect Redirect url 驗證

清除登入狀態 Token Revoke 的時機 OpenID Session Management Front-Channel Logout Back-Channel
Logout

Extra - Password 千萬不要存明碼 MD5 與 SHA1 已被認為是不安全的演算法建議使⽤ SHA256

Extra - Cookie 問題核⼼在於過度依賴 Cookie 作為身分驗證的⼿段 CSRF Session Hijacking Session
Fixation Weak Conﬁdentiality Weak Integrity

PHP 也有 Day #48：我是誰？我在哪？

PHP 也有 Day #48：我是誰？我在哪？

More Decks by Star Rocket

Other Decks in Technology

Featured

Transcript