您在此处:
OAuth 流启用:启用授权代码和凭据流
此安全设置激活了现代 OAuth 2.0 扩展,它允许应用程序安全地交换访问令牌的临时授权代码,同时保持与应用程序唯一凭据的严格链接。
控件名称
外部客户端应用程序:OAuth 流启用启用授权代码和凭据流
推荐配置
启用授权代码和凭据流。
控制概览
此安全设置激活了现代 OAuth 2.0 扩展,它允许应用程序安全地交换访问令牌的临时授权代码,同时保持与应用程序唯一凭据的严格链接。
安全风险(如果未配置)
如果没有这种现代化的流,应用程序通常依赖于传统或不太安全的方法,这种方法在用户的授权和特定的客户端应用程序之间没有提供相同级别的加密绑定,增加了令牌拦截的风险。
威胁场景
攻击者尝试使用窃取的授权代码来访问受保护的资源,但尝试失败,因为系统需要特定的客户端应用程序的凭据来完成握手。
估计的 CVSS 得分范围
高 (7.0–8.9)。
风险影响注意事项
不实施这种集成的流会导致安全架构更加分散,令牌更容易在不同会话之间被欺骗或重放。
高风险
适用于面向公众的 Web 应用程序或移动应用程序,它们必须处理跨不可信网络的大量用户流量,在这些网络中,拦截简单授权代码的可能性更大。
低风险
如果应用程序已经使用代码交换验证密钥 (PKCE) 扩展,以向标准授权代码流添加额外的保护层。
业务和集成注意事项
实施此流需要开发人员更新他们的应用程序逻辑,以便同时处理用户授权响应和后续的服务器端凭据验证。
建议的补救措施
转到外部客户端应用程序的 OAuth 设置,并选中复选框,以打开授权代码和凭据流。
安全健康审查指导
安全运行状况审查将此流识别为复杂集成的关键安全升级,以便根据请求访问的特定应用程序的身份验证每个令牌交换。
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
