위치:
OAuth 플로 활성화: 인가 코드 및 자격 증명 플로 활성화
이 보안 설정은 응용 프로그램이 응용 프로그램의 고유 자격 증명에 대한 엄격한 링크를 유지하면서 액세스 토큰에 대한 임시 권한 부여 코드를 안전하게 교환할 수 있는 최신 OAuth 2.0 확장을 활성화합니다.
제어 이름
외부 클라이언트 앱: OAuth 플로 활성화 활성화 인가 코드 및 자격 증명 플로
권장 구성
인가 코드 및 자격 증명 플로를 활성화합니다.
제어 개요
이 보안 설정은 응용 프로그램이 응용 프로그램의 고유 자격 증명에 대한 엄격한 링크를 유지하면서 액세스 토큰에 대한 임시 권한 부여 코드를 안전하게 교환할 수 있는 최신 OAuth 2.0 확장을 활성화합니다.
구성되지 않은 경우 보안 위험
이 현대화된 플로가 없으면 응용 프로그램이 사용자 인가 및 특정 클라이언트 응용 프로그램 간에 동일한 수준의 암호화 바인딩을 제공하지 않는 레거시 또는 안전하지 않은 메서드에 의존하는 경우가 많으므로 토큰 가로채기가 발생할 위험이 증가합니다.
위협 시나리오
공격자가 도난된 인가 코드를 사용하여 보호된 자원에 대한 액세스 권한을 획득하려고 시도했지만 시스템에 특정 클라이언트 응용 프로그램의 자격 증명이 필요하므로 시도에 실패합니다.
예상 CVSS 점수 범위
높음(7.0~8.9)
위험 영향 고려 사항
이 통합 플로를 구현하지 못하면 다양한 세션에서 더 쉽게 토큰을 스푸핑하거나 재생할 수 있는 조각화된 보안 아키텍처가 생성될 수 있습니다.
위험이 높은 경우
신뢰할 수 없는 네트워크에서 대량 사용자 트래픽을 처리해야 하는 공개 웹 응용 프로그램 또는 모바일 앱의 경우 간단한 인가 코드를 가로채기 가능성이 높습니다.
낮은 위험 시기
응용 프로그램에서 이미 PKCE(Proof Key for Code Exchange) 확장을 사용하여 표준 권한 부여 코드 플로에 추가 보호 계층을 추가하는 경우
비즈니스 및 통합 고려 사항
이 플로를 구현하려면 개발자가 응용 프로그램 논리를 업데이트하여 사용자 인가 응답과 후속 서버측 자격 증명 확인을 동시에 처리해야 합니다.
권장 수정
외부 클라이언트 앱의 OAuth 설정으로 이동하여 확인란을 선택하여 인가 코드 및 자격 증명 플로를 활성화합니다.
보안 상태 검토 지침
보안 상태 검토는 이 플로를 복잡한 통합에 대한 중요 보안 업그레이드로 식별하므로 모든 토큰 교환이 액세스를 요청하는 특정 응용 프로그램의 ID에 대해 확인됩니다.
