OAuth 2.0 Implicit Grant Flow は、たとえば JavaScript を使用してそのメカニズムを公開するため、クライアント アプリでリソース所有者にクライアント ID とアクセス トークンが公開されます。露出を悪用するのを防ぐために何ができるかについて、明確な答えを見つけることができませんでした.
次のシナリオの問題を防ぐための対策は何ですか? フローを正しく理解していないことが明らかな場合は、ご指摘ください。
シナリオ
クライアント A - 認可サーバーから独自のクライアント ID を付与された正当なクライアント。
クライアント B - 認可サーバーが認識していないクライアントで、クライアント A のクライアント ID をコピーし、無実のリソース所有者を引き込み、アクセス トークンを使用してプライベート情報にアクセスします。
これらは、問題を解決するために私が考えることができるいくつかのオプションです。
- IP ホワイト リストを作成し、既知の各クライアントにマップします。リソースサーバーを承認して呼び出すときに、承認サーバーと照合します。
- リソース サーバーのエンド ポイントでスロットリングを設定して、異常なアクティビティを検出します。