Usted está aquí:
Habilitación de flujo de OAuth: Activar el control de flujo Código de autorización y credenciales
Esta configuración de seguridad activa una extensión moderna de OAuth 2.0 que permite a una aplicación intercambiar de forma segura un código de autorización temporal para tokens de acceso mientras mantiene un vínculo estricto a las credenciales exclusivas de la aplicación.
Nombre de control
Aplicaciones cliente externas: Flujo Activación de flujo de OAuth Activar código de autorización y credenciales
Configuración recomendada
Active el flujo Código de autorización y credenciales.
Descripción general de control
Esta configuración de seguridad activa una extensión moderna de OAuth 2.0 que permite a una aplicación intercambiar de forma segura un código de autorización temporal para tokens de acceso mientras mantiene un vínculo estricto a las credenciales exclusivas de la aplicación.
Riesgo de seguridad si no está configurado
Sin este flujo modernizado, las aplicaciones a menudo se basan en métodos heredados o menos seguros que no proporcionan el mismo nivel de vinculación criptográfica entre la autorización del usuario y la aplicación cliente específica, aumentando el riesgo de interceptación de tokens.
Escenarios de amenazas
Un atacante intenta utilizar un código de autorización robado para obtener acceso a un recurso protegido, pero el intento falla porque el sistema requiere las credenciales de la aplicación cliente específica para completar el apretón de manos.
Intervalo de puntuaje de CVSS estimado
Alto (7,0 a 8,9).
Consideraciones de impacto de riesgo
No implementar este flujo integrado puede dar como resultado una arquitectura de seguridad más fragmentada donde los tokens son más fáciles de simular o reproducir entre diferentes sesiones.
Mayor riesgo cuando
Para aplicaciones web de cara al público o aplicaciones móviles que deben gestionar el tráfico de usuarios de gran volumen entre redes no fiables donde la interceptación de un código de autorización sencillo es más probable.
Bajo riesgo cuando
Si la aplicación ya utiliza la extensión Proof Key for Code Exchange (PKCE) para agregar una capa adicional de protección al flujo de código de autorización estándar.
Consideraciones de negocio e integración
La implementación de este flujo requiere que los desarrolladores actualicen su lógica de aplicación para gestionar la respuesta de autorización del usuario y la verificación de credenciales del lado del servidor posterior de forma simultánea.
Remediación recomendada
Vaya a la configuración de OAuth de la aplicación cliente externa y seleccione la casilla de verificación para activar el flujo de credenciales y código de autorización.
Directrices de revisión del estado de seguridad
Security Health Review identifica este flujo como una actualización de seguridad crítica para integraciones complejas, de modo que cada intercambio de tokens se verifica con la identidad de la aplicación específica que solicita acceso.
