breadcrumbDescription
Administrer OAuth-adgangspolitikker for en tilsluttet app: Opdater politik for tokenudløb
Denne politik sikrer, at et opdateringstoken er strengt "engangsbrug", hvilket betyder, at det straks ugyldiggøres, så snart det bruges til at anmode om et nyt adgangstoken.
Kontrolnavn
Administrer OAuth-adgangspolitikker for en tilsluttet app: Opdater politik for tokenudløb
Anbefalet konfiguration
Opdater tokenpolitik - Umiddelbart udløber opdateringstoken.
Kontroller oversigt
Denne politik sikrer, at et opdateringstoken er strengt "engangsbrug", hvilket betyder, at det straks ugyldiggøres, så snart det bruges til at anmode om et nyt adgangstoken.
Sikkerhedsrisiko, hvis den ikke er konfigureret
Uden øjeblikkelig udløb forbliver et opdateringstoken gyldigt for flere anvendelser, indtil det når sin tidsbaserede deadline, hvilket efterlader et vindue med mulighed for, at en angriber kan genbruge et stjålet token, selv efter at den legitime bruger allerede har opdateret sin session.
Trusselscenarier
En angriber opfanger et gyldigt opdateringstoken fra en netværkslogfil eller et lokalt lager og bruger det til at generere flere adgangstokener fra en anden enhed, før det oprindelige token ville have udløbet naturligt.
Estimeret CVSS-scoringsinterval
Kritisk (9,0-10,0).
Overvejelser i forbindelse med risikopåvirkning
Hvis der ikke udløber tokener med det samme, tillades der "samtidig sessionsovertagelse", hvor både den lovlige bruger og angriberen kan vedligeholde aktiv, uafhængig adgang til den samme konto samtidigt.
Højere risiko når
For offentlige klienter (mobil- eller browserapps), der ikke bruger PKCE, da der ikke kræves nogen sekundær kryptografisk bevis for at "genbruge" det stadig gyldige opdateringstoken.
Lav risiko når
Opdater tokenrotation er allerede aktiveret, da rotation teknisk gennemtvinger det gamle tokens umiddelbare udløb som en del af dets standard "swap"-logik.
Overvejelser i forbindelse med forretning og integration
Implementering af øjeblikkelig udløb kræver, at klientapplikationen har robust fejlhåndtering og pålidelig, synkron datalagring for at sikre, at det ikke mister det netop udstedte token under udvekslingen, hvilket ville resultere i en øjeblikkelig brugerspærring.
Anbefalet rettelse
Gå til OAuth-politikker for den tilsluttede app, og indstil opdateringstokenpolitikken til "Udløbet opdateringstoken med det samme".
Vejledning til sikkerhedstilstandsgennemgang
Sikkerhedstilstandscheck identificerer øjeblikkelig udløb som et kritisk "Anti-Replay"-kontrolelement, så ethvert kompromitteret token har den absolut kortest mulige hjælpeproces for en modstander.
