Вы находитесь здесь:
API (Включить параметры OAuth): Управление кодом авторизации и параметрами потока регистрационных данных
Этот элемент управления настраивает определенные требования безопасности для «Кода авторизации и потока регистрационных данных».
Управление именем
Связанные приложения: API (Включить параметры OAuth): Код авторизации и параметры потока регистрационных данных
Рекомендованная конфигурация
Включите код авторизации и поток регистрационных данных.
Не требуйте и не снимайте флажок «Требовать секрет для процесса веб-сервера» и «Требовать секрет для процесса проверки подлинности маркера обновления».
Общие сведения о контроле
Этот элемент управления настраивает определенные требования безопасности для «Кода авторизации и потока регистрационных данных», определяя необходимость проверки секрета клиента на основе того, является ли приложение «Личным клиентом» (серверная часть) или «Общедоступным клиентом» (обозреватель/мобильный).
Риск безопасности, если он не настроен
Некорректное требование секрета для общедоступных клиентов вынуждает жестко кодировать регистрационные данные во входном коде, где они легко крадутся, в то время как отсутствие требования секрета для личных клиентов позволяет злоумышленникам обмениваться перехваченными кодами без необходимости личного ключа приложения.
Сценарии угроз
Злоумышленник декомпилирует мобильное приложение для извлечения жестко запрограммированного секрета клиента или перехватывает код авторизации из серверного приложения и успешно обменивает его на высокопривилегированный маркер доступа, поскольку секрет для обмена не требовался.
Примерный диапазон оценки CVSS
Критические (9,0-10,0).
Рекомендации по влиянию риска
Неправильная конфигурация приводит либо к взлому регистрационных данных клиента, либо к включению несанкционированного перехвата сеанса, что приводит к постоянному непроверенному доступу к конфиденциальным данным.
Повышенный риск при
Если поток используется для высокопривилегированных интеграций, не имеющих PKCE (Ключ подтверждения для обмена кодами) в качестве дополнительной защиты или когда секреты хранятся в клиентских хранилищах обычного текста.
Низкий риск при
Если «Личные клиенты» строго внедряют секреты, хранимые в защищенных серверных хранилищах, а «Общедоступные клиенты» используют PKCE для защиты обмена, не нуждаясь в уязвимом общедоступном секрете.
Рекомендации по бизнесу и интеграции
Правильное внедрение этого требует четкого архитектурного различия между приложениями, управляемыми интерфейсом и интерфейсом, чтобы обеспечить применение соответствующей политики «Секретно» без нарушения рукопожатия проверки подлинности.
Рекомендованное исправление
Для личных/серверных клиентов выберите «Требовать секрет для процесса веб-сервера» и «Требовать секрет для процесса проверки подлинности маркера обновления»; Для общедоступных/мобильных клиентов снимите флажки с этих параметров и внедрите PKCE.
Руководство по проверке состояния безопасности
Обзор состояния безопасности подчеркивает, что безопасность секрета полностью зависит от способности клиента защитить его, и предписывает, чтобы ни один общедоступный секрет не был открыт в среде обозревателя или мобильного устройства.
