面试题答案
一键面试OAuth认证机制
- 优势:
- 数据传输安全:通过授权服务器颁发令牌,第三方应用获取资源需经过用户授权和令牌验证,传输过程中令牌一般采用HTTPS加密,保证数据安全。
- 防止重放攻击:OAuth 2.0中令牌有一定有效期,过期后需重新获取,降低重放攻击风险。
- 密钥管理:授权服务器集中管理密钥,可灵活更新和维护密钥,不同客户端和资源服务器共享密钥问题相对易解决。
- 劣势:
- 数据传输安全:若授权服务器被攻击,令牌被盗取,攻击者可利用令牌访问资源。
- 防止重放攻击:虽有有效期,但在有效期内令牌可多次使用,存在一定重放风险。
- 密钥管理:依赖授权服务器,若授权服务器密钥泄露,影响整个系统安全;多应用场景下密钥分发和同步复杂。
- 弥补措施:
- 数据传输安全:加强授权服务器安全防护,如网络隔离、入侵检测等;采用双因素认证等多因素认证提高安全性。
- 防止重放攻击:在令牌中加入唯一标识符和时间戳,资源服务器验证时比对,拒绝重复或超时请求。
- 密钥管理:定期更新密钥,采用分布式密钥管理系统增强安全性;应用端对接收令牌进行完整性校验。
JWT认证机制
- 优势:
- 数据传输安全:JWT可进行签名,确保数据完整性和真实性,且可使用加密算法对负载数据加密,保证传输安全。
- 防止重放攻击:可在JWT负载中添加唯一标识符和过期时间,资源服务器可验证拒绝重放请求。
- 密钥管理:JWT签名验证密钥可分布式存储,各资源服务器可独立验证,减少对单一服务器依赖。
- 劣势:
- 数据传输安全:JWT包含用户信息,若未加密传输,信息易泄露。
- 防止重放攻击:虽有过期时间,但在有效期内仍可重放,且JWT无撤销机制,无法主动使令牌失效。
- 密钥管理:密钥管理分散,各服务器需保持密钥一致性,更新密钥复杂。
- 弥补措施:
- 数据传输安全:始终使用HTTPS传输JWT;对敏感信息加密处理后放入负载。
- 防止重放攻击:建立黑名单机制,记录已使用的JWT;结合前端生成随机数,每次请求携带并验证。
- 密钥管理:使用密钥管理服务(KMS)统一管理和分发密钥;采用公钥/私钥对,更新密钥时不影响已颁发JWT验证。