Ti trovi qui:
Abilitazione flusso OAuth: Abilitazione del controllo del flusso Codice di autorizzazione e credenziali
Questa impostazione di protezione attiva una moderna estensione OAuth 2.0 che consente a un'applicazione di scambiare in modo sicuro un codice di autorizzazione temporaneo con token di accesso mantenendo uno stretto collegamento alle credenziali univoche dell'applicazione.
Nome controllo
App client esterne: Abilitazione flusso OAuth Abilitazione flusso Codice di autorizzazione e credenziali
Configurazione consigliata
Abilitare il flusso Codice di autorizzazione e credenziali.
Panoramica sul controllo
Questa impostazione di protezione attiva una moderna estensione OAuth 2.0 che consente a un'applicazione di scambiare in modo sicuro un codice di autorizzazione temporaneo con token di accesso mantenendo uno stretto collegamento alle credenziali univoche dell'applicazione.
Rischio per la sicurezza se non configurato
Senza questo flusso modernizzato, le applicazioni spesso si basano su metodi legacy o meno sicuri che non forniscono lo stesso livello di binding crittografico tra l'autorizzazione dell'utente e l'applicazione client specifica, aumentando il rischio di intercettazione dei token.
Scenari di minaccia
Un aggressore tenta di utilizzare un codice di autorizzazione rubato per accedere a una risorsa protetta, ma il tentativo non riesce perché il sistema richiede le credenziali dell'applicazione client specifica per completare la stretta di mano.
Intervallo di punteggi CVSS stimato
Alto (7,0–8,9).
Considerazioni sull'impatto del rischio
L'impossibilità di implementare questo flusso integrato può causare un'architettura di sicurezza più frammentata in cui i token sono più facili da falsificare o riprodurre in sessioni diverse.
Rischio maggiore quando
Per le applicazioni Web rivolte al pubblico o le app mobili che devono gestire il traffico degli utenti a volume elevato su reti non affidabili in cui è più probabile che venga intercettato un codice di autorizzazione semplice.
Basso rischio quando
Se l'applicazione utilizza già l'estensione Proof Key for Code Exchange (PKCE) per aggiungere un ulteriore livello di protezione al flusso di codice di autorizzazione standard.
Considerazioni su Business e integrazione
L'implementazione di questo flusso richiede agli sviluppatori di aggiornare la logica delle applicazioni per gestire contemporaneamente sia la risposta di autorizzazione utente che la successiva verifica delle credenziali lato server.
Rimedio consigliato
Accedere alle impostazioni OAuth dell'app client esterna e selezionare la casella di controllo per attivare il flusso del codice di autorizzazione e delle credenziali.
Guida all'esame dello stato della sicurezza
Security Health Review identifica questo flusso come un aggiornamento di sicurezza fondamentale per le integrazioni complesse, in modo che ogni scambio di token venga verificato rispetto all'identità della specifica applicazione che richiede l'accesso.
