Vous êtes ici :
Activation de flux OAuth : Activer le contrôle de flux Code d'autorisation et identifiants
Ce paramètre de sécurité active une extension OAuth 2.0 moderne qui permet à une application d'échanger en toute sécurité un code d'autorisation temporaire contre des jetons d'accès tout en maintenant un lien strict avec les identifiants uniques de l'application.
Nom du contrôle
Applications clientes externes : Flux OAuth Enablement Activer le code d'autorisation et les identifiants Flux
Configuration recommandée
Activez le flux Code d'autorisation et identifiants.
Vue d'ensemble du contrôle
Ce paramètre de sécurité active une extension OAuth 2.0 moderne qui permet à une application d'échanger en toute sécurité un code d'autorisation temporaire contre des jetons d'accès tout en maintenant un lien strict avec les identifiants uniques de l'application.
Risque de sécurité s'il n'est pas configuré
Sans ce flux modernisé, les applications s'appuient souvent sur des méthodes héritées ou moins sécurisées qui n'offrent pas le même niveau de liaison cryptographique entre l'autorisation de l'utilisateur et l'application cliente spécifique, ce qui augmente le risque d'interception de jetons.
Scénarios de menace
Un assaillant tente d'utiliser un code d'autorisation volé pour accéder à une ressource protégée, mais la tentative échoue, car le système nécessite les identifiants de l'application cliente spécifique pour terminer la poignée de main.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
L'échec de l'implémentation de ce flux intégré peut entraîner une architecture de sécurité plus fragmentée dans laquelle les jetons sont plus faciles à usurper ou à rejouer entre différentes sessions.
Risque plus élevé quand
Pour les applications Web accessibles au public ou les applications mobiles qui doivent gérer un trafic utilisateur important à travers des réseaux non fiables où l'interception d'un simple code d'autorisation est plus probable.
Risque faible quand
Si l'application utilise déjà l'extension PKCE (Proof Key for Code Exchange) pour ajouter une couche de protection supplémentaire au flux de code d'autorisation standard.
Considérations relatives à l'entreprise et à l'intégration
L'implémentation de ce flux nécessite que les développeurs mettent à jour leur logique d'application pour gérer simultanément la réponse d'autorisation utilisateur et la vérification des identifiants côté serveur.
Remédiation recommandée
Accédez aux paramètres OAuth de l'application cliente externe, puis cochez la case pour activer le flux Code d'autorisation et identifiants.
Guide d'examen sanitaire de sécurité
Security Health Review identifie ce flux comme une mise à niveau de sécurité critique pour les intégrations complexes. Par conséquent, chaque échange de jetons est vérifié par rapport à l'identité de l'application spécifique qui demande l'accès.
