سرفصل‌های آموزشی
آموزش OAuth و Laravel Passport
افزونه ی PKCE

افزونه ی PKCE

افزونه PKCE مخفف عبارت Proof Key for Code Exchange است که یک تکنیک برای کلاینت‌های عمومی توصیف می‌کند تا تهدیدات روند  قبلی یعنی Authorization Code را کاهش دهد و از آن‌ها جلوگیری کند.

کلیت کار این تکنیک این است که ابتدا یک رمز ایجاد می‌کند و سپس هنگام تبادل Authorization Code برای یک Access Token، دوباره از آن رمز استفاده می‌کند. به این ترتیب اگر authorization code، رهگیری شود و حمله ای اتفاق بیافتد، از آن جا که درخواست Token به رمز ساخته شده اولیه وابسته می‌باشد، این حمله بی‌اثر خواهد بود.

کلاینت عمومی و یا هر کلاینتی که نمی‌تواند Client Secret  را مخفی نگه دارد، اگر از روش Authorization Code استفاده کند، در معرض حمله رهگیری کد مجوز (authorization code interception attack) قرار می‌گیرد. در این حمله، مهاجم authorization code را که از  Authorization Serverدریافت می‌شود را رهگیری می‌کند و با استفاده از آن برای دستیابی به  Access Token اقدام کند.

شکل زیر روال این حمله را نشان می‌دهد :

درادامه مراحل این نوع مجوز را باهم طی می‌کنیم

1- ایجاد Code Verifier و Code Challenge


همان‌طور که در مرحله گذشته، قبل از Authorization Code، پارامتر Client Secret را برای درخواست گرفتن Access Token به کار می بردیم، در این روش نیز از مورد مشابه ای استفاده خواهیم کرد. وقتی کلاینت درخواست مجوز را شروع می‌کند، به جای این که بلافاصله مرورگر را راه‌اندازی کند، یا بهتر است بگوییم قبل از تغییر مسیر کاربر به Authorization Server، ابتدا دو پارامتر Code Verifier و Code Challenge را ایجاد می‌کند.

Code Verifier یک رشته به صورت تصادفی با استفاده از کاراکتر‌هایA-Z  ،a-z  ، 0-9 و علائم نگارشی است که بین 43 تا 128 کاراکتر طول دارد. کلاینتCode Verifier  ای که ایجاد کرده است را برای استفاده بعدی  باید ذخیره کند.

وقتی که کلاینت Code Verifier را تولید کرد، از آن برای ایجاد Code Challenge استفاده می‌کند.برای دستگاه‌هایی که می‌توانند یک هش SHA256 را تولید کنند، Code Challenge یک رشته BASE64-URL-encoded شده است یعنی به صورت زیر:

base64url(sha256(code_verifier))

اما کلاینت‌هایی که توانایی تولید یک هش SHA256 را ندارند، می‌توانند از همان Code Verifier به عنوان Code Challenge استفاده کنند.

2- ایجاد Authorization URL و redirect کردن کاربر به Authorization Server


این مرحله اولین درخواست کلاینت به Authorization Server می‌باشد که مشابه مرحله ی اول در روش Authorization Code می‌باشد که در آن کاربر را به Authorization Server به همراه پارامترهایی redirect می‌کنیم. پارامترهایی که در این درخواست وجود دارد شامل تمام پارامترهای روش قبل و همچنین دو پارامتر جدید که مختص PKCE می‌باشد:

·         response_type : نشان می‌دهد می‌کند که کلاینت منتظر دریافت authorization code است.

·         client_id : شناسه کلاینت که شما هنگام ثبت برنامه خود دریافت کردید.

·         redirect_uri : آدرس URL ای را نشان می‌دهد که کاربر پس از اتمام مجوز، کاربر را به آن برگرداند.

·         state : رشته تصادفی ایجاد شده توسط کلاینت، که بعدا نیاز به تایید آن است. در حقیقت کلاینت یک رشته تصادفی تولید می‌کند و آن را در درخواست قرار می‌دهد. پس از آنکه کاربر مجوز برنامه را صادر کرد، باید بررسی کند که همان مقدار را برگردانده است یا خیر. این کار برای جلوگیری از حملات CSRF استفاده می‌شود.

·         code_challenge : کد challenge که در مرحله ی تخست توسط کلاینت تولید شد.

·        code_challenge_method : مقدار این پارامتر 2 حالت دارد: ساده یا یک رشته SHA256. این مقدار به verifier بستگی دارد که Code Challenge را در مرحله ی نخست چگونه تولید کرده است. اگر این پارامتر حذف شود، سرور حالت ساده را در نظر می‌گیرد.

https://authorization-server.com/auth
  response_type=code
  &client_id=29352915982374239857
  &redirect_uri=https%3A%2F%2Fexample-app.com%2Fcallback
  &scope=create+delete
  &state=xcoiv98y2kd22vusuye3kch
  &code_challenge=EPfZUBYUfGmdkAO1DqSbShlptf4EYSs5MyMIZJKur_k
  &code_challenge_method=S256

کاربر به Authorization Server منتقل می‌شود و باید نام کاربری و رمز عبور خود را وارد کند. Authorization Server باید بتواند پارامتر code_challenge را در درخواست شناسایی کند. سپس Authorization Server مقدار code_challange را با مقدار Authorization Code که تولید کرده است، مرتبط کند. نحوه ارتباط به این صورت خواهد بود که یا آن‌ها را در پایگاه داده ذخیره کند یا اگر از Authorization Codes به صورت رمزگذاری شده استفاده می‌کند، می‌تواند در خود کد درج نماید. سرور، Authorization Code را به صورت عادی بر می‌گرداند.

 

3- Verify کردن پارامتر State


بعد از این که کاربر بهAuthorization Server  منتقل شد و درخواست کلاینت مبنی بر لاگین و دسترسی را تایید کرد مجددا به کلاینت redirect می‌شود که 2 پارامتر زیر درURL را نیز با خود به همراه دارد. این موارد مشابه روش قبل می‌باشد:

https://example-app.com/callback
 ?code=g0ZGZmNjVmOWIjNTk2NTk4ZTYyZGI3
 &state=xcoiv98y2kd22vusuye3kch

 

تفاوتی که وجود دارد این است که مقدار state در اینجا کاملا ضروری نیست زیرا پارامترهای PKCE محافظت CSRF را فراهم می‌کنند. در عمل، اگر مطمئن هستید که سرور OAuth از PKCE پشتیبانی می‌کند، می‌توانید به جای استفاده از state برای محافظت در برابر حملهCSRF ، از پارامترهای Code Verifier و Code Challenge  استفاده کنید.

در هر صورت اگر از state  استفاده شده باشد، بررسی می‌شود که آیا مقدار state ذخیره شده توسط کلاینت با state موجود در redirect url، مطابقت دارد یا نه. اگر مطابقت داشته باشد، مرحله ی بعد طی می‌شود.

 

4- مبادله Athorization Code

اکنون آماده تبادل authorization code برای دریافت یک Access Token هستید. کلاینت  با پارامترهای زیر یک درخواست POST  ایجاد می‌کند. علاوه بر پارامترهای تعریف شده درAuthorization Code Request ، در این روش کلاینت پارامتر   code_verifier  را نیز ارسال می‌کند. یک درخواست Access Token کامل شامل پارامترهای زیر است:

·         grant_type : نوع Grant در درخواست token را نشان می‌دهد.

·         code : کلاینت authorization code به دست آمده در redirect_uri را ارسال خواهد کرد. 

·         redirect_uri : همان redirect URL که در درخواست مجوز اولیه استفاده شده است.

·         client_id : شناسه کلاینت ثبت شده در برنامه.

·         code_verifier : همان Code Verifier که کلاینت در مرحله ی اول ایجاد کرده است.

POST https://authorization-server.com/token

grant_type=authorization_code
&client_id=29352915982374239857
&client_secret=ZKVW9TAuxn4yAo_4KcEdnwMJ0EVTiaMET3__s5DySVO6pcUt
&redirect_uri=https%3A%2F%2Fexample-app.com%2Fcallback
&code=g0ZGZmNjVmOWIjNTk2NTk4ZTYyZGI3
&code_verifier=AGGyNqIw8Is2T66HrP_4s9CSfUUy2TjpnWk6F1v7BpK8Ru3G

 

همان‌طور که می‌بینید، شما باید code verifier را در درخواست توکن ارسال کنید. Authorization Server بررسی می‌کند که آیا verifier و challeneg که در درخواست مجوز مورد استفاده قرار گرفته است با هم مطابقت دارد یا خیر. این کار تضمین می‌کند که اگر یک مهاجم، authorization code را رهگیری کرد، قادر به استفاده از آن نباشد.  

از آنجا که code_challenge  و code_challenge_method در ابتدا با authorization code همراه بودند، Authorization Server از قبل می‌داند از کدام روش (ساده یاSHA256) برای تایید code_verifier استفاده کند.

اگر روش ساده باشد، Authorization Server فقط نیاز دارد تا بررسی کند که کد ارائه شده مطابق با رشته مورد انتظار code_challenge  است یا خیر.

اگر روش SHA256 باشد، Authorization Server می‌بایست code_verifier دریافت شده را با همان روشی که در مرحله ی نخست گفته شد (یعنی محاسبه SHA256 hash و سپس base64-url-encoding)رمز کند و نتیجه ی آن را با پارامتر code_challenge  که در مرحله ی اول دریافت کرده بود، مقایسه کند.

5- دریافت پاسخ

اگر مرحله ی قبل با موفقیت انجام شد، آنگاه Authorization Server می‌تواند، یک Access Token صادر کرده و آن را در پاسخ به کلاینت قرار دهد و اگر ناموفق بود، خطای invalid_grant پاسخ دهد.

HTTP/1.1 200 OK
Content-Type: application/json
Cache-Control: no-store
Pragma: no-cache

{
  "access_token":"MTQ0NjJkZmQ5OTM2NDE1ZTZjNGZmZjI3",
  "token_type":"bearer",
  "expires_in":3600,
  "refresh_token":"IwOGYzYTlmM2YxOTQ5MGE3YmNmMDFkNTVk",
  "scope":"create delete"
}

 

با طی کردن این مراحل، اکنون کلاینت دارای یک Access Token است و می‌تواند از آن برای ایجاد درخواست‌های API از طرف کاربر استفاده کند.

توجه داشته باشید که استفاده از افزونه PKCE باعث نمی‌شود مقدار یا پارامتر جدیدی به پاسخ سرور به کلاینت اضافه شود و همان‌طور که در ابتدای این بخش ذکر شد، برای حفاظت در برابر تهدیدات Authorization Code می‌باشد و در کاهش آن‌ها تأثیر دارد، بنابراین کلاینت‌ها همیشه می‌توانند از افزونه PKCE  استفاده کنند حتی اگر یک Authorization Server از آن پشتیبانی نکند چون مقدار پارامتر اضافه‌ای نخواهد داشت که باعث ایجاد مشکل شده و یا درخواست ها به درستی اجرا نشوند. 

online-support-icon