U bent hier:
OAuth-stroom inschakelen: Stroom Autorisatiecode- en inloggegevens inschakelen
Deze beveiligingsinstelling activeert een moderne OAuth 2.0-extensie waarmee een toepassing veilig een tijdelijke autorisatiecode voor toegangstokens kan uitwisselen, terwijl een strikte koppeling met de unieke inloggegevens van de toepassing behouden blijft.
Controlenaam
Externe clientapps: Stroom Autorisatiecode- en inloggegevens inschakelen voor OAuth-stroom
Aanbevolen configuratie
Schakel Stroom Autorisatiecode- en inloggegevens in.
Overzicht van besturingselementen
Deze beveiligingsinstelling activeert een moderne OAuth 2.0-extensie waarmee een toepassing veilig een tijdelijke autorisatiecode voor toegangstokens kan uitwisselen, terwijl een strikte koppeling met de unieke inloggegevens van de toepassing behouden blijft.
Beveiligingsrisico indien niet geconfigureerd
Zonder deze gemoderniseerde stroom vertrouwen toepassingen vaak op verouderde of minder veilige methoden die niet hetzelfde niveau van cryptografische binding bieden tussen de autorisatie van de gebruiker en de specifieke clienttoepassing, waardoor het risico op tokenonderschepping toeneemt.
Dreigingsscenario's
Een aanvaller probeert een gestolen autorisatiecode te gebruiken om toegang te krijgen tot een beschermde resource, maar de poging mislukt omdat het systeem de inloggegevens van de specifieke clienttoepassing vereist om de handdruk te voltooien.
Geschatte CVSS-scorebereik
Hoog (7,0–8,9).
Overwegingen bij risico-impact
Als u deze geïntegreerde stroom niet implementeert, kan dit leiden tot een meer gefragmenteerde beveiligingsarchitectuur waarbij tokens gemakkelijker kunnen worden vervalst of opnieuw kunnen worden afgespeeld binnen verschillende sessies.
Hoger risico wanneer
Voor openbare webtoepassingen of mobiele apps die veel gebruikersverkeer over niet-vertrouwde netwerken moeten afhandelen, waarbij het onderscheppen van een eenvoudige autorisatiecode waarschijnlijker is.
Laag risico wanneer
Als de toepassing de extensie Proof Key for Code Exchange (PKCE) al gebruikt om een extra beschermingslaag toe te voegen aan de standaardstroom voor autorisatiecode.
Overwegingen bij bedrijf en integratie
Het implementeren van deze stroom vereist dat ontwikkelaars hun toepassingslogica bijwerken om zowel de reactie van de gebruikersautorisatie als de daaropvolgende verificatie van het inloggegeven aan de serverzijde tegelijkertijd af te handelen.
Aanbevolen oplossing
Ga naar de OAuth-instellingen van de Externe client-app en schakel het selectievakje in om de stroom voor autorisatiecode en inloggegevens in te schakelen.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand identificeert deze stroom als een kritieke beveiligingsupgrade voor complexe integraties, zodat elke tokenuitwisseling wordt geverifieerd aan de hand van de identiteit van de specifieke toepassing die om toegang verzoekt.
