Usted está aquí:
Seguridad: Requerir clave de prueba para intercambio de códigos (PKCE)
Esta configuración de seguridad requiere un protocolo de acceso criptográfico entre todos los OAuth 2 compatibles.
Nombre de control
Aplicaciones cliente externas: Seguridad: Requerir clave de prueba para intercambio de códigos (PKCE)
Configuración recomendada
Extensión Requerir clave de prueba para intercambio de códigos (PKCE) para flujos de autorización admitidos.
Descripción general de control
Esta configuración de seguridad impone un protocolo de enlace criptográfico entre todos los tipos de otorgamiento de OAuth 2.0 compatibles donde el cliente envía un reto de código hash durante la solicitud inicial y un verificador de código de texto sin formato durante el intercambio de tokens para vincular la solicitud a la instancia de cliente específica.
Riesgo de seguridad si no está configurado
Sin PKCE aplicado en todos los flujos compatibles, un código de autorización interceptado o credencial intermedia puede intercambiarse correctamente por un token de acceso por un actor malicioso porque el servidor de autorización carece de un mecanismo técnico para verificar la identidad del llamante original.
Escenarios de amenazas
Un atacante captura un código de autorización válido o una credencial interceptable desde un inicio de sesión correcto (a través del historial del navegador, los registros del sistema o la interceptación de esquemas de URI personalizados) y obtiene programáticamente un token de sesión válido antes de que el cliente legítimo pueda completar el apretón de manos.
Intervalo de puntuaje de CVSS estimado
Alto (7,0 a 8,9).
Consideraciones de impacto de riesgo
No aplicar PKCE en todos los flujos aplicables permite el secuestro generalizado de sesiones y el acceso a datos no autorizado, dirigiéndose específicamente a integraciones donde un secreto de cliente estático no se utiliza o se ha comprometido.
Mayor riesgo cuando
El riesgo es mayor para clientes públicos, como aplicaciones móviles nativas y aplicaciones web de una sola página (SPA), ya que estas plataformas no pueden almacenar de forma segura un secreto de cliente y operan frecuentemente en entornos donde el redireccionamiento de tráfico es observable.
Bajo riesgo cuando
El escenario es de menor riesgo si la organización utiliza exclusivamente clientes confidenciales en servidores back-end seguros que ya aplican un secreto de cliente obligatorio y operan dentro de un perímetro de red estrictamente aislado.
Consideraciones de negocio e integración
La activación de este requisito en todos los flujos admitidos requiere que todas las aplicaciones cliente integradas admitan el método de transformación S256 y gestionen cadenas de alta entropía exclusivas para cada transacción.
Remediación recomendada
Vaya a Configuración de OAuth de la aplicación cliente externa y seleccione la casilla de verificación Requerir clave de prueba para intercambio de códigos (PKCE) para todos los flujos de autorización admitidos.
Directrices de revisión del estado de seguridad
Security Health Review identifica PKCE como un estándar arquitectónico obligatorio para todos los flujos de autorización e identidad modernos, de modo que cada intercambio de tokens está vinculado criptográficamente a la instancia de cliente específica para evitar la inyección e interceptación de credenciales.
