PHP 也有 Day #48：我是誰？我在哪？

Transcript

1. 我是誰︖我在哪︖ 聊聊 Web 的身分驗證

2. ABOUT MILES CURRENT Senior Developer @ 104 Corp. Volunteer @

   DevOps Taiwan TAG PHP, Docker, DevOps jangconan@gmail.com MilesChou
3. None

4. 今天將會聊些什麼 Terminology Scenario Native App Security Topic

5. Terminology Authentication Entity Identifier

6. Server User

7. Server User Entity

8. Server User Identifier Entity

9. Server User Entity Identifier Miles Miles

10. Server User Entity Identifier Authentication Miles Miles

11. 基本的安全問題 請求真的是該使⽤用者本身的意願所發出的請求嗎︖ 有沒有可能被竄改︖有沒有機會造假︖ 回應真的是伺服器的回應嗎︖ 有沒有可能被竄改︖有沒有機會造假︖

12. Scenario 從前從前，有個網站提供了很多服務

13. 安安你好，第⼀一 一 次 來 來 嗎 ？ 第⼀一 一 次

    來 來 的 都 是 絕 緣 ⼈人 人 哦 ！ 為了了讓你不再絕緣， 你先跟我講好，要怎麼驗證你是誰！

14. 註冊的⽬目的 使⽤用者提供憑證資訊，如帳號、密碼、etc 伺服器提供 metadata

15. 註冊的⽅方法 線上註冊 私訊註冊 線下註冊

16. User Login 身為⼀一個使⽤用者，我希望能使⽤用網站提供的服務

17. 安安你好，第⼆二 二 次 來 來 嗎 ？ 站著！⼝口 口 令

    ？ 誰 ？ 我知道你是麥爾斯了了，可是我⾦金金 金 金 ⿂魚 魚 腦 ！ 24 分鐘內記得過來來刷新⼀一 一 下 ！

18. User Login Challenge State Management Mechanism

19. 實作 LaravelAuth Zend Authentication

20. Server-side Authentication 身為⼀一個伺服器，我希望能呼叫網站提供的 API

21. How about Authorization?

22. Server-side Authentication Trusted Server VPN、鎖 IP、發 token、etc. OAuth 2.0 Facebook、Google、GitHub、AWS、etc.

23. Terminology -OAuth2.0 Authorization Resource Owner Resource Server Client Authorization Server

24. Authorization Server Resource Owner Resource Server Client Authorization Request

25. Authorization Server Resource Owner Resource Server Client Authorization Grant

26. Authorization Server Resource Owner Resource Server Client Authorization Grant

27. Authorization Server Resource Owner Resource Server Client Access Token

28. Authorization Server Resource Owner Resource Server Client Access Token

29. Authorization Server Resource Owner Resource Server Client Protected Resource

30. 微信偷連結 Facebook︖ 到底花⽣生省魔術︖請看 VCR！

31. 微信偷連結 Facebook︖ Facebook 實作了 OAuth 2.0 微信 App 為 Client

    授權範圍

32. Third-party Login 身為⼀一個外部網站，我希望能透過貴站做身分驗證

33. 安安你好，你是麥爾斯的跟班嗎？ 有刷過麥爾斯的臉就可以進場了了哦！ 但過⼀一 一 回 兒 後 ， 我還會再跟麥爾斯確認，你還是不是他的跟班

34. Third-party Login OAuth 2.0 Facebook, Google, GitHub, etc. OpenID Connect

    AppleID, Line, Google, Auth0, etc. SAML GitHub, Google, etc.

35. Server User Provider Authentication Check

36. OpenID Connect

37. OpenID Connect Based-on OAuth 2.0 Use JWT on ID token

    Discovery Dynamic Client Registration

38. Authorization Server Client End User Login

39. Authorization Server Client End User Redirect to AuthorizationServer scope=openid

40. Authorization Server Client End User Authorization Request

41. GET / POST

42. Authorization Server Client End User Challenge

43. Client End User User Credentials Authorization Server

44. Authorization Server Client End User Authorization Request

45. Client End User Authorization Grant Authorization Server

46. Authorization Server Client End User Redirect to Client withCode

47. Authorization Server Client End User Use Code to get Access

    Token ID Token

48. ID token

49. 簽章 圖⽚來源：https://en.wikipedia.org/wiki/File:Private_key_signing.svg

50. 簽章演算法 HS256 - HMVC using SHA-256 Line RS256 - RSASSA-PKCS1-v1_5

    using SHA-256 AppleID, Google ES256 - ECDSA using P-256 and SHA-256 AppleID

51. Discovery AppleID Line Google

52. ⽤用 用 講 的 不 就 很 會 ？ 做⼀一

    一 個 來 來 看 看 啊 ！

53. Demo

54. Native App

55. 先講結論 不要⽤用嵌入式 User Agent，即麻煩又危險 可使⽤用 PKCE 來解決這個問題

56. Chrome on Mobile 圖⽚來源：https://www.ory.sh/oauth2-for-mobile-app-spa-browser/

57. App on Mobile 圖⽚來源：https://www.ory.sh/oauth2-for-mobile-app-spa-browser/

58. Security Topic

59. 基本 TLS CSRF XSS CSP Same-origin Policy

60. HTML 登入 無標準協定 網路釣⿂魚

61. Covert Redirect Redirect url 驗證

62. 清除登入狀態 Token Revoke 的時機 OpenID Session Management Front-Channel Logout Back-Channel

    Logout

63. Extra - Password 千萬不要存明碼 MD5 與 SHA1 已被認為是不安全的演算法 建議使⽤用 SHA256

64. Extra - Cookie 問題核⼼心在於過度依賴 Cookie 作為身分驗證的⼿手段 CSRF Session Hijacking Session

    Fixation Weak Confidentiality Weak Integrity

65. Q & A