您在此处:
管理连接的应用程序的 OAuth 访问策略:刷新令牌到期策略
此策略确保刷新令牌严格地说是“一次性使用”,这意味着它在用于请求新的访问令牌时立即失效。
控件名称
管理连接的应用程序的 OAuth 访问策略:刷新令牌到期策略
推荐配置
刷新令牌策略 - 刷新令牌立即过期。
控制概览
此策略确保刷新令牌严格地说是“一次性使用”,这意味着它在用于请求新的访问令牌时立即失效。
安全风险(如果未配置)
如果没有立即过期,刷新令牌在达到基于时间的截止日期之前仍然有效,即使合法用户已经刷新了会话,攻击者也有机会重复使用被盗令牌。
威胁场景
攻击者从网络日志文件或本地存储中拦截有效的刷新令牌,并在原始令牌自然过期前将其用于从不同设备生成多个访问令牌。
估计的 CVSS 得分范围
关键 (9.0–10.0)。
风险影响注意事项
无法立即使令牌过期允许“并发会话劫持”,合法用户和攻击者可以同时保持对同一帐户的有效、独立访问。
高风险
对于不使用 PKCE 的公共客户端(移动或浏览器应用程序),因为“重复使用”仍然有效的刷新令牌不需要辅助加密证明。
低风险
刷新令牌轮换已经启用,因为轮换在技术上强制旧令牌立即过期,作为其标准“交换”逻辑的一部分。
业务和集成注意事项
实施即时到期需要客户端应用程序具有强大的错误处理和可靠的同步数据保存,以确保其在交换期间不会丢失新颁发的令牌,这将导致立即的用户锁定。
建议的补救措施
转到连接的应用程序的 OAuth 策略,并将刷新令牌策略设置为“刷新令牌立即过期”。
安全健康审查指导
安全运行状况审查将即时到期识别为关键的“防重放”控制,以便任何被盗用的令牌对对手具有尽可能最短的效用。
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
