对于OAuth客户机,如果客户机的秘密被暴露,会发生什么不好的事情?
如果恶意用户发现客户机密,会造成什么伤害?tl;dr这是一个高级别的安全漏洞 如果您关注最近发生的事件,例如,那么我们正在讨论类似威胁的可能性。您只是欢迎恶意方获取访问令牌,他们可以将其用于任何用途。!您的OAuth令牌保护终结点现在已受损 在下面的重点部分 由此产生的影响如下:对于OAuth客户机,如果客户机的秘密被暴露,会发生什么不好的事情?,oauth,oauth-2.0,Oauth,Oauth 2.0,如果恶意用户发现客户机密,会造成什么伤害?tl;dr这是一个高级别的安全漏洞 如果您关注最近发生的事件,例如,那么我们正在讨论类似威胁的可能性。您只是欢迎恶意方获取访问令牌,他们可以将其用于任何用途。!您的OAuth令牌保护终结点现在已受损 在下面的重点部分 由此产生的影响如下: 可以通过客户端身份验证访问授权服务器 绕过 被盗的刷新令牌或授权“代码”可以重放 如果你与一个不持有客户端凭证的公共客户端进行比较,则会打开特殊的攻击向量。因此,即使刷新令牌或授权代码是安全的,恶意方也可以利用上述
- 可以通过客户端身份验证访问授权服务器 绕过
- 被盗的刷新令牌或授权“代码”可以重放
如果你与一个不持有客户端凭证的公共客户端进行比较,则会打开特殊的攻击向量。因此,即使刷新令牌或授权代码是安全的,恶意方也可以利用上述授权获取访问令牌。所以永远不要泄露客户的秘密
tl;dr这是一个高级别的安全漏洞 如果您关注最近发生的事件,例如,那么我们正在讨论类似威胁的可能性。您只是欢迎恶意方获取访问令牌,他们可以将其用于任何用途。!您的OAuth令牌保护终结点现在已受损 在下面的重点部分 由此产生的影响如下:- 可以通过客户端身份验证访问授权服务器 绕过
- 被盗的刷新令牌或授权“代码”可以重放
如果你与一个不持有客户端凭证的公共客户端进行比较,则会打开特殊的攻击向量。因此,即使刷新令牌或授权代码是安全的,恶意方也可以利用上述授权获取访问令牌。所以永远不要泄露客户的秘密