目次
- サマリ
- stateについて
- nonce
- PKCE
1.サマリ
時間ない人のためにstate、nonce、PKCEの違いについてサマリからお伝えします。
| state | nonce | PKCE |
| 防御したい攻撃 | CSRF
OAuthの文脈でのCSRFは攻撃者のcode/tokenを被害者に強制使わせ、被害者を攻撃者の身分でログインさせる攻撃である | リプレイアタック
token/code横取り攻撃。CSRFと逆で、token/code横取り攻撃は攻撃者が被害者のtoken/codeを取得し、被害者の身分になりすます攻撃 | CSRF |
| 検証する | クライアント | クライアント | サーバ |
|
| | |
| 仕様 | OAuth 2.0 | OIDC | OAuth 2.0 |
M
3.nonceについて
あ
4.PKCEについて
あ
0 件のコメント:
コメントを投稿