您位於此處:
API (啟用 OAuth 設定):設定識別碼權杖
此安全性設定定義 OpenID Connect 識別碼權杖的密碼編譯生命週期與資料結構。
控制名稱
連線的應用程式:API (啟用 OAuth 設定):設定識別碼權杖
建議組態
設定識別碼權杖 - 權杖持續時間 (以分鐘為單位) (2 分鐘) | 識別碼權杖受眾 | 包含標準宣告 | 包含自訂權限 | 自訂屬性。
控制概觀
此安全性設定透過指定到期間隔、目標受眾識別碼,以及包含特定使用者層級中繼資料,來定義 OpenID Connect 識別碼權杖的密碼編譯壽命和資料結構。
未設定安全性風險
應用程式工作階段的識別碼權杖持續期間較弱,且其管理的屬性不適當,會導致延長身分竊取風險,其中包含敏感使用者識別碼的過時權杖仍會對未經授權的重複使用保持有效。
威脅情況
攻擊者會攔截長存的識別碼權杖,並解壓縮持續的使用者中繼資料,或使用已啟用工作階段在共用相同受眾宣告的多個下游整合系統中模仿受害者。
估計 CVSS 分數範圍
高 (7.0–8.9)。
風險影響考量事項
無法實作短權杖生命週期和受限制的屬性集,可協助未經授權收集個人識別碼,並增加對組織身分層的成功重新執行攻擊可能性。
風險愈高時機
當識別碼權杖包含包含敏感業務邏輯的廣泛自訂屬性時,或當受眾宣告設定為全域值,允許非預期的外部服務提供者接受權杖時。
低度風險時機
如果組織強制執行最短兩分鐘的到期時間,並使用唯一的受眾識別碼來確保權杖以密碼編譯方式繫結至單一已驗證的用戶端。
業務與整合考量事項
實作限制識別碼權杖原則可透過將不必要的使用者資料傳輸降到最低,以確保符合資料隱私權法規,但這需要耗用應用程式來支援頻繁的權杖重新整理週期。
建議的補救措施
前往連線應用程式的 OAuth 原則,將「識別碼權杖有效性」設定為兩分鐘,定義「識別碼權杖受眾」,然後僅選取必要的標準和自訂宣告。
安全性健康檢閱指南
「安全性健康審查」將使用短期且受宣告限制的識別碼權杖識別為強烈建議的標準,以儘量縮短認證濫用機會的時段,並避免顯示永久的使用者中繼資料。
