Você está aqui:
Segurança: Exigir chave de comprovação para troca de código (PKCE)
Essa configuração de segurança exige um apelido criptográfico em todos os OAuth 2 compatíveis.
Nome do controle
Aplicativos cliente externos: Segurança: Exigir chave de comprovação para troca de código (PKCE)
Configuração recomendada
Exigir extensão de Chave de comprovação para troca de código (PKCE) para fluxos de autorização com suporte.
Visão geral de controle
Essa configuração de segurança exige um apelido criptográfico em todos os tipos de concessão compatíveis do OAuth 2.0 em que o cliente envia um desafio de código com hash durante a solicitação inicial e um verificador de código de texto simples durante a troca de token para vincular a solicitação à instância do cliente específica.
Risco de segurança, se não configurado
Sem a imposição da PKCE em todos os fluxos com suporte, um código de autorização interceptado ou credencial intermediária pode ser trocado com sucesso por um token de acesso por um agente mal-intencionado, pois o servidor de autorização não tem um mecanismo técnico para verificar a identidade do chamador original.
Cenários de ameaça
Um invasor captura um código de autorização válido ou uma credencial interceptável de um login bem-sucedido (por meio de histórico do navegador, logs do sistema ou intercepção de esquema de URI personalizado) e obtém programaticamente um token de sessão válido antes que o cliente legítimo possa concluir o apelido.
Intervalo de pontuação de CVSS estimado
Alto (7.0–8,9).
Considerações sobre impacto de risco
A falha na imposição da PKCE em todos os fluxos aplicáveis permite o sequestro de sessão amplo e o acesso a dados não autorizados, especificamente direcionando integrações em que um segredo do cliente estático não é usado ou foi comprometido.
Risco maior quando
O risco é maior para clientes públicos, como aplicativos móveis nativos e aplicativos da Web de página única (SPAs), pois essas plataformas não podem armazenar com segurança um segredo do cliente e operam com frequência em ambientes em que o redirecionamento de tráfego é observável.
Baixo risco quando
O cenário é de menor risco se a organização usar exclusivamente clientes confidenciais em servidores de back-end seguros que já impõem um segredo de cliente obrigatório e operam em um perímetro de rede estritamente isolado.
Considerações de negócios e integração
Habilitar esse requisito em todos os fluxos com suporte exige que todos os aplicativos cliente integrados deem suporte ao método de transformação S256 e gerenciem strings de alta entropia exclusivas para cada transação.
Remediação recomendada
Acesse as Configurações do OAuth do aplicativo cliente externo e marque a caixa de seleção para Exigir chave de comprovação para Code Exchange (PKCE) para todos os fluxos de autorização com suporte.
Diretriz de revisão de saúde de segurança
A Análise de integridade de segurança identifica a PKCE como um padrão arquitetônico obrigatório para todos os fluxos modernos de identidade e autorização, de modo que cada troca de token seja vinculada criptograficamente à instância do cliente específica para evitar a injeção e intercepção de credenciais.
