Security 包含代码参数的GET请求在OAuth2身份验证中是否易受攻击?
我目前正在使用Oauth2身份验证评估应用程序的安全性。 在Oauth舞蹈期间,当在浏览器A中与用户John Doe进行身份验证时,其中一个请求是: 得到 我注意到,我可以在不同的浏览器(浏览器B)中复制和粘贴该请求,我也可以在该浏览器中成为John Doe,而无需输入John Doe的凭据。(我也在浏览器B中收到新的JWT代币) 这会被认为是正常的Oauth2行为吗Security 包含代码参数的GET请求在OAuth2身份验证中是否易受攻击?,security,web-applications,oauth-2.0,Security,Web Applications,Oauth 2.0,我目前正在使用Oauth2身份验证评估应用程序的安全性。 在Oauth舞蹈期间,当在浏览器A中与用户John Doe进行身份验证时,其中一个请求是: 得到 我注意到,我可以在不同的浏览器(浏览器B)中复制和粘贴该请求,我也可以在该浏览器中成为John Doe,而无需输入John Doe的凭据。(我也在浏览器B中收到新的JWT代币) 这会被认为是正常的Oauth2行为吗 代码值在5分钟后以及用户刷新浏览器A或B中的浏览器窗口时过期 谢谢,不,您不应该在两种浏览器中都是John Doe。授权代码
- 代码值在5分钟后以及用户刷新浏览器A或B中的浏览器窗口时过期
谢谢,不,您不应该在两种浏览器中都是John Doe。授权代码只能使用一次(请参阅)。代码用于获取令牌后应失效 如果可以复制请求并从另一个浏览器(会话)成功执行,则表示授权服务器在使用代码后不会使代码无效。您可能希望向授权服务器的供应商提交一个bug