IBM Mobile First 8.0 oAuth flow“;客户“身份证”;及;重定向“U uri”;在GET请求中公开
我们在IOS应用程序中使用IBM Mobile First 8.0框架。 该框架使用oAuth2.0流作为身份验证流 我在GET请求中看到客户机id和重定向uri被传递到授权端点。看起来这个流程实际上是由mobilefirst框架负责的,我对它没有任何控制权 response_type=code scope= client_id=CLIENT_ID redirect_uri=REDIRECT_URL 响应类型=代码 范围= 客户号=客户号 重定向\u uri=重定向\u URL 在GET请求中公开“客户端id”和“重定向uri”有哪些安全漏洞 编辑:IBM Mobile First 8.0 oAuth flow“;客户“身份证”;及;重定向“U uri”;在GET请求中公开,oauth,ibm-mobilefirst,mobilefirst-server,Oauth,Ibm Mobilefirst,Mobilefirst Server,我们在IOS应用程序中使用IBM Mobile First 8.0框架。 该框架使用oAuth2.0流作为身份验证流 我在GET请求中看到客户机id和重定向uri被传递到授权端点。看起来这个流程实际上是由mobilefirst框架负责的,我对它没有任何控制权 response_type=code scope= client_id=CLIENT_ID redirect_uri=REDIRECT_URL 响应类型=代码 范围= 客户号=客户号 重定向\u uri=重定向\u
我更改了代码中的重定向uri,并向授权端点发出请求 我认为他们是在框架级别完成的一些白名单,但事实并非如此 这就是我看到的,授权代码被传递给hackerserver。
这些价值观没有暴露的已知风险。这些值与客户端SDK中的其他加密数据一起使用,以标识客户端。光靠它们是不够的
另外,正如iddo在评论中提到的,您应该使用SSL/TLS。有人能够监听你的流量本身就是一个问题,不管客户端ID是什么 这些价值观没有暴露的已知风险。这些值与客户端SDK中的其他加密数据一起使用,以标识客户端。光靠它们是不够的
另外,正如iddo在评论中提到的,您应该使用SSL/TLS。有人能够监听你的流量本身就是一个问题,不管客户端ID是什么 这两个参数不被视为“机密”,因为它们仅标识客户端和授权成功后将重定向到的URL。免责声明:我曾在IBM的Mobile First平台中实际实现此功能的团队中工作过。考虑到evil.com使用SSL传输,可以使用tweek“redirect_uri”并更改为其他值,如evil.com?并且该值在服务器端被列为白名单(应该是这样,请联系IBM的支持人员进行确认)-该值应被认为是安全的(当然,只要代码未经调温)。根据您的具体配置(仅在使用Web客户端时不同,而在您的情况下不同于iOS),平台会在内部生成并使用此值来表示成功授权,因此我认为您是安全的(我不再是这个项目的一部分,它可能已经改变了——我只是根据我有限的知识工作)。这两个参数不被视为“机密”,因为它们只是标识了客户端和授权成功后将重定向到的URL。免责声明:我曾在IBM的Mobile First平台中实际实现此功能的团队中工作过,是否可以使用“重定向uri”并更改为其他一些值,如evil.com?如果它使用SSL传输,并且该值在服务器端被列为白名单(应该是这样的,请联系IBM的支持人员进行确认)-该值应该被认为是安全的(当然,只要代码未经测试)。具体取决于您的特定配置(这与使用Web客户端时不同,与您的案例中的iOS不同),该值由平台内部生成和使用,以表示成功授权,因此我认为您是安全的(我不再是该项目的一部分,它可能已经改变了-我只是根据我有限的知识工作)。他们的重定向uri是否在框架级完成了白名单?我更改了代码中的重定向uri,并向授权端点发出请求。我认为他们的白名单是在框架级完成的,但事实并非如此。这就是我看到的,授权代码被传递给hackerserver。他们的白名单是否已完成重新设置框架级别的direct_uri?我更改了代码中的redirect_uri,并向授权端点发出请求。我认为他们在框架级别完成了一些白名单,但事实并非如此。这就是我看到的,授权代码被传递给hackerserver。