您在此处:
OAuth 流启用:启用 JWT 不记名流
此安全设置激活了基于证书的 OAuth 2.0 流,该流允许应用程序通过使用私钥签署 JSON Web 令牌 (JWT) 进行身份验证,而不是使用静态共享密码。
控件名称
外部客户端应用程序:OAuth 流启用:启用 JWT 不记名流
推荐配置
启用 JWT 不记名流。
控制概览
此安全设置激活了基于证书的 OAuth 2.0 流,该流允许应用程序通过使用私钥签署 JSON Web 令牌 (JWT) 进行身份验证,而不是使用静态共享密码。
安全风险(如果未配置)
如果没有 JWT 不记名流,集成通常依赖于不太安全的基于密码或基于密码的方法,这些方法容易受到凭据填充、暴力攻击以及源代码或日志中的意外暴露。
威胁场景
攻击者拦截或发现纯文本客户端密码,并将其用于建立与 API 的持久连接,而基于 JWT 的系统需要攻击者拥有戒备森严的私钥文件。
估计的 CVSS 得分范围
高 (7.0–8.9)。
风险影响注意事项
依赖静态密码而不是不对称加密增加了长期数据泄露的可能性,因为泄露的密码比数字证书更难检测和轮换。
高风险
如果集成用户具有更高的管理权限,并且连接是通过公共或非受管网络段建立的。
低风险
如果组织已经使用强大的密钥管理服务来保护私钥,并且对所有传入的 JWT 签名的请求强制实施严格的 IP 允许列表。
业务和集成注意事项
实施此流需要开发人员管理数字证书并实施本地代码来签名令牌,这比简单的基于密码的身份验证增加了复杂性。
建议的补救措施
转到外部客户端应用程序的 OAuth 设置,上传有效的数字证书,并选中复选框以打开 JWT 不记名流。
安全健康审查指导
安全运行状况审查将不对称加密技术用于机器对机器身份验证确定为高安全性环境的强制标准,因此凭据不容易复制或截获。
另请参阅:
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
