一個(gè)OpenResty里OAuth 2認(rèn)證的輪子(補(bǔ)遺)

上篇含全系列鏈接:傳送門

如果你有認(rèn)真讀第一篇博客,你可能也會(huì)注意到阮老師博客里的回復(fù),有人提到了OAuth標(biāo)準(zhǔn)里有一個(gè)參數(shù),叫 state,少了它的話網(wǎng)站就有可能受到CSRF攻擊。這個(gè)參數(shù)到底怎么用呢?為什么少了就有CSRF攻擊的漏洞呢?其實(shí)這個(gè)問題我曾經(jīng)也糾結(jié)過很久,去年讀到一篇文章,終于明白CSRF攻擊是怎么實(shí)現(xiàn)的了——然而那篇文章也找不到了。大體思路其實(shí)就是攻擊的網(wǎng)站需要支持多賬號(hào)綁定,然后攻擊人把自己的認(rèn)證碼放到被劫持用戶的回調(diào)中,就可以把自己的賬號(hào)綁定為被劫持用戶,獲取網(wǎng)站的個(gè)人信息甚至進(jìn)行交易。為了寫這篇博客,剛剛發(fā)現(xiàn)Spring的文檔里有一篇很不錯(cuò)的說明。

……
“不不不我并不會(huì)寫Java。”
……
“不不不我一直很敬佩寫Java的人,真心的!”

好了,大家都理解 state 參數(shù)的重要性以后,問題就來了:我(wa)們(jue)怎(ji)么(ji)加(shu)到(dao)流(di)程(na)里(jia)呢(qiang)?

其實(shí)思路很簡(jiǎn)單,在用戶訪問登錄頁的時(shí)候,除了返回一個(gè)跳轉(zhuǎn)讓用戶去OAuth平臺(tái)認(rèn)證App以外,還要隨機(jī)生成一個(gè) state 值,寫到這個(gè)請(qǐng)求的session里。這樣在用戶被跳轉(zhuǎn)回來以后,發(fā)的請(qǐng)求就有兩個(gè)地方有 state 值——session里和URL請(qǐng)求參數(shù)里。服務(wù)器在獲取用戶信息之前要先檢查URL請(qǐng)求參數(shù)里的 state 和session里的是不是一致,不一致的話基本上就是出現(xiàn)CSRF攻擊了。

這就是為什么在Dockerfile里我們裝上了lua-resty-session這個(gè)庫。

好了,又到了貼代碼的時(shí)間!下面是擴(kuò)展后的跳轉(zhuǎn)階段邏輯,主要就是寫了一個(gè)session。lua-resty-session支持多種session的存儲(chǔ)機(jī)制,我這里偷懶用了最簡(jiǎn)單的方法,直接放在Cookie里,具體用法大家可以自己讀一下文檔,不是很難。然后那個(gè) state 的生成表達(dá)式是我網(wǎng)上抄來的,就是Lua里生成隨機(jī)字符串的一個(gè)方法:

local random = require('resty.random')
local str = require('resty.string')
local S = require('resty.session')

function M.get_code(next_page)
  local state = str.to_hex(random.bytes(16))
  local session = S.start()
  if next_page then session.data.next_page = next_page end
  session.data.state = state
  session:save()
  return ngx.redirect(code_url(state))
end

接下來就是檢查 state 是不是相同的邏輯了。我們對(duì) oauth.lua 模塊的 M.get_profile 做下面的擴(kuò)展:

local function is_valid_state(state)
  if _conf.csrf_unprotect then
    return true
  else
    local session = S.open()
    local saved_state = session.data.state
    return state == saved_state
  end
end

function M.get_profile(code, state)
  -- 檢查失敗的話就直接扔400
  if not is_valid_state(state) then
    ngx.say('{"msg": "invalid-state"}')
    return ngx.exit(ngx.HTTP_BAD_REQUEST)
  end
  local token = get_token(code)
  local profile = get_profile(token)
  ngx.say(cjson.encode(profile))
end

好了!核心的邏輯就是這樣啦!剩下的就是配置了。大家有沒有注意到這里有一個(gè) _conf.csrf_unprotect,這個(gè)是為了支持那些不靠譜的OAuth提供方做的一個(gè)小配置跳過 state 檢查。然后這里要提一下lua-resty-session在代碼緩存關(guān)掉時(shí)候的一個(gè)小坑。這里就不展開說明了,大家讀一下文檔,記得在Nginx配置的server block里加上這么一個(gè)變量就好:

server {
  listen 80;
  lua_ssl_verify_depth 10;
  lua_ssl_trusted_certificate '/etc/ssl/certs/ca-certificates.crt';
  # Remember to add this line!!!
  set $session_secret 'a-highly-secretive-string';
  ...

這樣我們整個(gè)OAuth的認(rèn)證流程就非常完整了!

簡(jiǎn)直好棒棒!

以下為擴(kuò)展補(bǔ)充材料,看和不看差不了多少,主要涉及到的方法都來自GitHub上大牛們的慷慨相助

其實(shí)還有一個(gè)小事情,雖然問題不大,卻讓我糾結(jié)了非常非常久……LuaJIT在工程上有一個(gè)很麻煩的因素,就是我至今沒有找到很好的方案來在大項(xiàng)目中做JIT檢查。

LuaJIT有一份文檔,記錄了哪些調(diào)用不能被JIT編譯。這個(gè)東西實(shí)在太細(xì)碎、太依賴程序員自身的細(xì)心程度和工程經(jīng)驗(yàn)了。在有一個(gè)很好的Linter之前,我覺得會(huì)是一個(gè)工程推廣上蠻大的阻礙。

如果在NYI頁面里搜Closure的話,會(huì)發(fā)現(xiàn)閉包會(huì)產(chǎn)生FNEW這個(gè)字節(jié)碼調(diào)用,還有可能會(huì)有UCLO,這兩個(gè)調(diào)用都不能被JIT編譯。那我們的 requests.lua 里用的柯里化會(huì)不會(huì)有問題呢?這里其實(shí)不會(huì),因?yàn)樵谏a(chǎn)環(huán)境下我們會(huì)把代碼緩存打開,然后LuaJIT在把閉包函數(shù)賦值給 M 上的字段以后,對(duì)這個(gè)字段的調(diào)用就不會(huì)再動(dòng)態(tài)生成新的函數(shù)了。下面貼上LuaJIT的 v模塊dump模塊對(duì)兩種調(diào)用的dump。

我們有三個(gè)文件:

$ cat mylib.lua
local function closure()
    return function () end
end

local M = {}
M.dynamic_call = closure
M.closure_free = closure()
return M

$ cat dynamic.lua
local mymod = require('mylib')
for i = 1, 1000000 do mymod.dynamic_call()() end

$ cat fixed.lua
local mymod = require('mylib')
for i = 1, 1000000 do mymod.closure_free() end

如果用LuaJIT的v模塊來看JIT trace,就會(huì)發(fā)現(xiàn)動(dòng)態(tài)生成的閉包函數(shù)是沒辦法JIT編譯的,而如果把動(dòng)態(tài)生成后的函數(shù)賦值給一個(gè)變量再反復(fù)調(diào)用它,就不會(huì)有JIT abort:

$ luajit -jv dynamic.lua
[TRACE --- dynamic.lua:2 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- dynamic.lua:2 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE   1 mylib.lua:4 return]
[TRACE --- mylib.lua:3 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- dynamic.lua:2 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- mylib.lua:3 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- dynamic.lua:2 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- mylib.lua:3 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- dynamic.lua:2 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- mylib.lua:3 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- dynamic.lua:2 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- mylib.lua:3 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- dynamic.lua:2 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- mylib.lua:3 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- dynamic.lua:2 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- mylib.lua:3 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- dynamic.lua:2 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- mylib.lua:3 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- dynamic.lua:2 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- mylib.lua:3 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- dynamic.lua:2 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- mylib.lua:3 -- NYI: bytecode 51 at mylib.lua:4]
[TRACE --- mylib.lua:3 -- NYI: bytecode 51 at mylib.lua:4]

$ luajit -jv fixed.lua
[TRACE   1 fixed.lua:2 loop]

用dump來看的話就更明顯了:

$ luajit -jdump dynamic.lua
---- TRACE 1 start mylib.lua:3
0001  FNEW     0   0      ; mylib.lua:4
---- TRACE 1 abort mylib.lua:4 -- NYI: bytecode 51

---- TRACE 1 start dynamic.lua:2
0008  TGETS    5   0   2  ; "dynamic_call"
0009  CALL     5   2   1
0000  . FUNCF    1          ; mylib.lua:3
0001  . FNEW     0   0      ; mylib.lua:4
---- TRACE 1 abort mylib.lua:4 -- NYI: bytecode 51

---- TRACE 1 start mylib.lua:3
0001  FNEW     0   0      ; mylib.lua:4
---- TRACE 1 abort mylib.lua:4 -- NYI: bytecode 51
...

---- TRACE 1 start mylib.lua:4
0001  RET0     0   1
---- TRACE 1 IR
---- TRACE 1 mcode 29
10f66ffdc  mov dword [0x00042410], 0x1
10f66ffe7  xor eax, eax
10f66ffe9  mov ebx, 0x00054acc
10f66ffee  mov r14d, 0x00042fa8
10f66fff4  jmp 0x100005ce9
---- TRACE 1 stop -> return

---- TRACE 2 start mylib.lua:3
0001  FNEW     0   0      ; mylib.lua:4
---- TRACE 2 abort mylib.lua:4 -- NYI: bytecode 51

---- TRACE 2 start dynamic.lua:2
0008  TGETS    5   0   2  ; "dynamic_call"
0009  CALL     5   2   1
0000  . FUNCF    1          ; mylib.lua:3
0001  . FNEW     0   0      ; mylib.lua:4
---- TRACE 2 abort mylib.lua:4 -- NYI: bytecode 51
...


$ luajit -jdump fixed.lua
---- TRACE 1 start fixed.lua:2
0008  TGETS    5   0   2  ; "closure_free"
0009  CALL     5   1   1
0000  . FUNCF    1          ; mylib.lua:4
0001  . RET0     0   1
0010  FORL     1 => 0008
---- TRACE 1 IR
0001    int SLOAD  #2    CI
0002 >  tab SLOAD  #1    T
0003    int FLOAD  0002  tab.hmask
0004 >  int EQ     0003  +1
0005    p32 FLOAD  0002  tab.node
0006 >  p32 HREFK  0005  "closure_free" @0
0007 >  fun HLOAD  0006
0008 >  fun EQ     0007  mylib.lua:4
0009  + int ADD    0001  +1
0010 >  int LE     0009  +1000000
0011 ------ LOOP ------------
0012  + int ADD    0009  +1
0013 >  int LE     0012  +1000000
0014    int PHI    0009  0012
---- TRACE 1 mcode 114
f125ff8e  mov dword [0x00042410], 0x1
f125ff99  cvttsd2si ebp, [rdx+0x8]
f125ff9e  cmp dword [rdx+0x4], -0x0c
f125ffa2  jnz 0xf1250010    ->0
f125ffa8  mov ecx, [rdx]
f125ffaa  cmp dword [rcx+0x1c], +0x01
f125ffae  jnz 0xf1250010    ->0
f125ffb4  mov eax, [rcx+0x14]
f125ffb7  mov rdi, 0xfffffffb000521a8
f125ffc1  cmp rdi, [rax+0x8]
f125ffc5  jnz 0xf1250010    ->0
f125ffcb  cmp dword [rax+0x4], -0x09
f125ffcf  jnz 0xf1250010    ->0
f125ffd5  cmp dword [rax], 0x00062160
f125ffdb  jnz 0xf1250010    ->0
f125ffe1  add ebp, +0x01
f125ffe4  cmp ebp, 0x000f4240
f125ffea  jg 0xf1250014 ->1
->LOOP:
f125fff0  add ebp, +0x01
f125fff3  cmp ebp, 0x000f4240
f125fff9  jle 0xf125fff0    ->LOOP
f125fffb  jmp 0xf125001c    ->3
---- TRACE 1 stop -> loop

好了,這下我知道的、能勉強(qiáng)算點(diǎn)干貨的東西,就全寫完了

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容