2

OAuth 2.0 Implicit Grant Flow は、たとえば JavaScript を使用してそのメカニズムを公開するため、クライアント アプリでリソース所有者にクライアント ID とアクセス トークンが公開されます。露出を悪用するのを防ぐために何ができるかについて、明確な答えを見つけることができませんでした.

次のシナリオの問題を防ぐための対策は何ですか? フローを正しく理解していないことが明らかな場合は、ご指摘ください。

シナリオ

クライアント A - 認可サーバーから独自のクライアント ID を付与された正当なクライアント。

クライアント B - 認可サーバーが認識していないクライアントで、クライアント A のクライアント ID をコピーし、無実のリソース所有者を引き込み、アクセス トークンを使用してプライベート情報にアクセスします。

これらは、問題を解決するために私が考えることができるいくつかのオプションです。

  1. IP ホワイト リストを作成し、既知の各クライアントにマップします。リソースサーバーを承認して呼び出すときに、承認サーバーと照合します。
  2. リソース サーバーのエンド ポイントでスロットリングを設定して、異常なアクティビティを検出します。
4

2 に答える 2

2

これが、OAuth 仕様 (RFC 6749) がセクション 10.6 で暗黙的フローのセキュリティ上の弱点について警告している理由です。あなたが説明した対策がインターネット上の一般的な設定で有効かどうかは明らかではありません. たとえば、IP ヘッダーは安全ではなく、簡単にスプーフィングされる可能性があります。私は、最低レベルのセキュリティを必要とするアプリケーション (情報の読み取り専用表示など) に対してのみ、暗黙的なフローを使用します。

于 2013-12-14T02:52:37.603 に答える