0

OAuth 2.0 User Credential Grant タイプと考えられるセキュリティ攻撃について、セキュリティに関する質問がいくつかあります。これまでのところ、ユーザーのユーザー名、パスワード、クライアント ID、およびクライアント シークレットを HTTPS 経由のアクセス トークンに交換すると、完全に安全になります。たとえば、ユーザー認証を行うサービス用のファースト パーティのモバイル アプリケーションがあり、デバイスにアクセス トークンを保持しているとします。

  1. アクセストークンが侵害された場合、侵害されたアクセストークンを使用して、API サービスなどの後続のリクエストを行う方法。アクセストークンを取得しない以外に、これを防ぐ方法はありますか?
  2. HTTPS 経由ですべての API リクエストを実行している場合、ネットワーク経由でアクセス トークンが侵害されたり、リプレイ攻撃を心配したりする必要はありません。

したがって、基本的に、この特定の種類の許可に伴うセキュリティ上の欠陥の可能性についての私の懸念は. アクセス トークンが侵害されず、すべてのトラフィックが SSL 経由である場合は、問題ないと確信しています。

最大の OAuth 担当者ではなく、誰かの専門家の意見を聞きたいです。

4

1 に答える 1

1

アクセス トークンが侵害された場合、そのアクセス トークンを持つアプリはそれを悪用する可能性があります。アクセス トークンの有効期間は短く、特定のアクセス許可にのみマッピングされるため、被害は 1 つのリソースへの 10 分間のアクセスに限定されます。(トークンは、スコープに登録されているアプリに対して生成され、スコープはアクセス許可にマップされます。)

ファースト パーティのアプリで作業している場合、トークンをデバイスに保存する理由は何ですか? 暗黙的な付与フローではなく、承認コード フローを使用することを考えることができます。そうすれば、アクセストークンは常にサーバーにあり、ローカルのデバイスにはありません。

于 2013-05-11T06:57:39.610 に答える