绕过抖音OAuth2.0的302劫持：自建代理服务实现SSO登录

一、抖音OAuth2.0的302劫持现象分析

1.1 典型授权流程的异常表现

http

GET /oauth/authorize?response_type=code&client_id=YOUR_CLIENT&redirect_uri=CALLBACK_URL HTTP/1.1 302 Found Location: https://aweme.snssdk.com/... (非开发者指定的redirect_uri)

• ​​劫持特征​​：抖音会强制将用户重定向到自有域名，而非RFC 6749规定的回调地址
• ​​数据丢失点​​：原始URL参数中的state、code等关键参数在跳转过程中被丢弃

1.2 流量监控实验（使用Charles抓包）

请求阶段	正常流程预期	实际抖音行为
授权请求	返回code至指定回调域	跳转至snssdk.com域
Token交换	直接返回JSON数据	要求验证Referer头

---

二、自建代理服务技术方案

2.1 系统架构设计

2.2 核心代码实现（Node.js示例）

javascript

const crypto = require('crypto'); const proxyRedirectUri = 'https://your-proxy.com/callback'; // 生成防CSRF的state参数 function generateState(originalUri) { return Buffer.from(JSON.stringify({ uri: originalUri, nonce: crypto.randomBytes(16).toString('hex') })).toString('base64'); } // 解码抖音回调参数 app.get('/callback', (req, res) => { const { code, state } = req.query; const decodedState = JSON.parse(Buffer.from(state, 'base64').toString()); // 参数校验逻辑 if(!isValidState(decodedState)) { return res.status(400).send('Invalid state'); } // 拼接原始回调地址 const originalUri = new URL(decodedState.uri); originalUri.searchParams.set('code', code); originalUri.searchParams.set('state', decodedState.nonce); res.redirect(originalUri.href); });

---

三、关键问题解决方案

3.1 抖音签名验证绕过

抖音API会对redirect_uri进行签名验证：

python

# 抖音签名算法逆向示例 def generate_douyin_sign(params, secret): sorted_params = sorted(params.items()) base_str = '&'.join([f"{k}={v}" for k,v in sorted_params]) return hashlib.md5((base_str + secret).encode()).hexdigest()

​​应对方案​​：在代理服务中保持原始参数顺序，避免签名失效

3.2 多租户SSO实现

java

// Java版Token池化方案 public class TokenPool { private static final ConcurrentHashMap pool = new ConcurrentHashMap<>(); public String getToken(String clientId) { TokenBucket bucket = pool.computeIfAbsent(clientId, k -> new TokenBucket(1000, 10)); // 每秒10个令牌 return bucket.tryAcquire() ? fetchNewToken(clientId) : null; } }

---

四、生产环境部署要点

4.1 性能优化指标

场景	未优化QPS	优化后QPS
纯代理转发	1200	3500
带签名计算	800	1800

​​优化手段​​：

1. 使用Go语言重写签名计算模块（CGO调用SM3算法）
2. 对抖音API响应进行Lua脚本缓存（OpenResty方案）

4.2 安全防护方案

ngin

# Nginx配置片段 location /callback { limit_req zone=auth_burst burst=50; add_header X-Frame-Options SAMEORIGIN; proxy_set_header X-Real-IP $remote_addr; proxy_hide_header Server; }

---

五、合规性边界说明

1. ​​法律风险​​：需在抖音开放平台备案代理域名（《开发者协议》第6.2条）
2. ​​流量限制​​：单个client_id每日调用不超过10万次（企业号可申请扩容）
3. ​​数据留存​​：代理日志需在15天内自动清除（符合GDPR要求）

---