Вы находитесь здесь:
Управление политиками доступа OAuth для связанного приложения: Политика истечения срока действия маркера обновления
Эта политика обеспечивает строгое «одноразовое использование» маркера обновления, то есть он мгновенно аннулируется в момент использования для запроса нового маркера доступа.
Управление именем
Управление политиками доступа OAuth для связанного приложения: Политика истечения срока действия маркера обновления
Рекомендованная конфигурация
Политика маркера обновления - немедленное истечение срока действия маркера обновления.
Общие сведения о контроле
Эта политика обеспечивает строгое «одноразовое использование» маркера обновления, то есть он мгновенно аннулируется в момент использования для запроса нового маркера доступа.
Риск безопасности, если он не настроен
Без немедленного истечения срока действия, маркер обновления остается действительным для нескольких видов использования до наступления крайнего срока, привязанного к времени, что оставляет возможность для злоумышленника повторно использовать украденный маркер даже после обновления сеанса законным пользователем.
Сценарии угроз
Злоумышленник перехватывает действительный маркер обновления из файла журнала сети или локального хранилища и использует его для создания нескольких маркеров доступа с другого устройства до естественного истечения срока действия исходного маркера.
Примерный диапазон оценки CVSS
Критические (9,0-10,0).
Рекомендации по влиянию риска
Немедленное прекращение действия маркеров позволяет использовать «параллельный перехват сеанса», когда и законный пользователь, и взломщик могут одновременно поддерживать активный независимый доступ к одной организации.
Повышенный риск при
Для общедоступных клиентов (мобильные приложения или приложения обозревателя), не использующих PKCE, поскольку для «повторного использования» действительного маркера обновления нет дополнительного криптографического доказательства.
Низкий риск при
Ротация маркера обновления уже включена, поскольку ротация технически применяет немедленное истечение срока действия старого маркера как часть стандартной логики «замены».
Рекомендации по бизнесу и интеграции
Внедрение немедленного истечения срока действия требует, чтобы клиентское приложение имело надежную обработку ошибок и надежное синхронное сохранение данных, чтобы не потерять новый выпущенный маркер во время обмена, что приведет к немедленной блокировке пользователя.
Рекомендованное исправление
Перейдите в политики OAuth связанного приложения и задайте политике маркера обновления значение «Немедленно истечет срок действия маркера обновления».
Руководство по проверке состояния безопасности
Проверка состояния безопасности определяет немедленное истечение срока действия в качестве важного элемента управления «Антивоспроизведение», чтобы любой скомпрометированный маркер имел как можно более короткую служебную программу для противника.
