Ti trovi qui:
API (Abilita impostazioni OAuth): Impostazioni del flusso Codice di autorizzazione e credenziali
Questo controllo configura i requisiti di sicurezza specifici per il "flusso Codice di autorizzazione e credenziali".
Nome controllo
Applicazioni connesse: API (Abilita impostazioni OAuth): Impostazioni del flusso Codice di autorizzazione e credenziali
Configurazione consigliata
Abilitare il flusso Codice di autorizzazione e credenziali.
Non richiedere o deselezionare Richiede segreto per il flusso del server Web e Richiede segreto per il flusso del token di aggiornamento.
Panoramica sul controllo
Questo controllo configura i requisiti di sicurezza specifici per il "flusso Codice di autorizzazione e credenziali", determinando se un segreto client deve essere convalidato a seconda che l'applicazione sia un "client privato" (lato server) o un "client pubblico" (browser/mobile).
Rischio per la sicurezza se non configurato
La richiesta errata di un segreto per i client pubblici forza il codice rigido delle credenziali nel codice front-end dove vengono facilmente rubate, mentre la mancata richiesta di un segreto per i client privati consente agli aggressori di scambiare codici intercettati senza bisogno della chiave privata dell'applicazione.
Scenari di minaccia
Un aggressore decompila un'app mobile per estrarre un segreto client codificato o intercetta un codice di autorizzazione da un'app lato server e lo scambia con un token di accesso con privilegi elevati poiché non era necessario alcun segreto per lo scambio.
Intervallo di punteggi CVSS stimato
Critico (9.0–10.0).
Considerazioni sull'impatto del rischio
Una configurazione errata porta alla compromissione delle credenziali client o all'abilitazione di un hijack della sessione non autorizzato, che provocano entrambi un accesso persistente e non autenticato ai dati sensibili.
Rischio maggiore quando
Quando il flusso viene utilizzato per integrazioni con privilegi elevati che non dispongono di PKCE (Proof Key for Code Exchange) come difesa secondaria o quando i segreti sono archiviati in archivi di testo normale lato client.
Basso rischio quando
Quando i "client privati" applicano rigorosamente i segreti archiviati in caveau sicuri lato server e i "client pubblici" utilizzano PKCE per proteggere lo scambio senza bisogno di un segreto condiviso vulnerabile.
Considerazioni su Business e integrazione
L'implementazione corretta richiede una chiara distinzione architettonica tra applicazioni basate sul backend e basate sul frontend per assicurarsi che venga applicata la policy "Secret" appropriata senza interrompere la stretta di mano dell'autenticazione.
Rimedio consigliato
Per i client privati/lato server, selezionare sia "Richiedi segreto per flusso server Web" che "Richiedi segreto per flusso token di aggiornamento"; Per i client pubblici/mobili, deselezionare queste opzioni e implementare PKCE.
Guida all'esame dello stato della sicurezza
Security Health Review evidenzia che la sicurezza di un segreto dipende interamente dalla capacità del client di proteggerlo e impone che nessun segreto condiviso venga mai esposto al browser o all'ambiente mobile.
