Você está aqui:
Habilitação de fluxo do OAuth: Habilitar código de autorização e fluxo de credenciais
Essa configuração de segurança ativa uma moderna extensão do OAuth 2.0 que permite que um aplicativo troque com segurança um código de autorização temporário para tokens de acesso enquanto mantém um link rígido para as credenciais exclusivas do aplicativo.
Nome do controle
Aplicativos cliente externos: Fluxo Habilitação de fluxo OAuth Habilitar código e credenciais de autorização
Configuração recomendada
Habilite o Fluxo de credenciais e código de autorização.
Visão geral de controle
Essa configuração de segurança ativa uma moderna extensão do OAuth 2.0 que permite que um aplicativo troque com segurança um código de autorização temporário para tokens de acesso enquanto mantém um link rígido para as credenciais exclusivas do aplicativo.
Risco de segurança, se não configurado
Sem esse fluxo modernizado, os aplicativos geralmente dependem de métodos legados ou menos seguros que não fornecem o mesmo nível de associação criptográfica entre a autorização do usuário e o aplicativo cliente específico, aumentando o risco de interceptação de token.
Cenários de ameaça
Um invasor tenta usar um código de autorização roubado para obter acesso a um recurso protegido, mas a tentativa falha porque o sistema exige as credenciais do aplicativo cliente específico para concluir o apelido.
Intervalo de pontuação de CVSS estimado
Alto (7.0–8,9).
Considerações sobre impacto de risco
A falha na implementação desse fluxo integrado pode resultar em uma arquitetura de segurança mais fragmentada, em que os tokens são mais fáceis de falsificar ou reproduzir em diferentes sessões.
Risco maior quando
Para aplicativos da Web ou aplicativos móveis voltados para o público que precisam lidar com tráfego de usuários de alto volume em redes não confiáveis em que a interceptação de um código de autorização simples é mais provável.
Baixo risco quando
Se o aplicativo já usa a extensão Chave de comprovação para troca de código (PKCE) para adicionar uma camada adicional de proteção ao fluxo de código de autorização padrão.
Considerações de negócios e integração
A implementação desse fluxo exige que os desenvolvedores atualizem a lógica de aplicativo para lidar com a resposta de autorização do usuário e a verificação de credencial no lado do servidor simultaneamente.
Remediação recomendada
Acesse as configurações do OAuth do aplicativo cliente externo e marque a caixa de seleção para ativar o código de autorização e o fluxo de credenciais.
Diretriz de revisão de saúde de segurança
A Análise de integridade de segurança identifica esse fluxo como uma atualização de segurança crítica para integrações complexas, de modo que cada troca de token seja verificada em relação à identidade do aplicativo específico que solicita acesso.
