Вы находитесь здесь:
Безопасность: Требовать ключ подтверждения для управления обменом кодов (PKCE)
Этот параметр безопасности требует криптографического рукопожатия во всех совместимых OAuth 2.
Управление именем
Приложения внешних клиентов: Безопасность: Требовать ключ подтверждения для обмена кодами (PKCE)
Рекомендованная конфигурация
Расширение «Требовать ключ подтверждения для обмена кодами (PKCE)» для поддерживаемых потоков авторизации.
Общие сведения о контроле
Этот параметр безопасности предписывает криптографическое рукопожатие во всех совместимых типах предоставления OAuth 2.0, когда клиент отправляет вызов хэш-кода во время первичного запроса и средство проверки обычного текста во время обмена маркеров для связывания запроса с определенным экземпляром клиента.
Риск безопасности, если он не настроен
Без внедрения PKCE во всех поддерживаемых потоках перехваченный код авторизации или промежуточные регистрационные данные могут быть успешно обменены на маркер доступа вредоносного исполнителя, поскольку сервер авторизации не имеет технического механизма для проверки подлинности исходного абонента.
Сценарии угроз
Злоумышленник собирает действительный код авторизации или перехватываемые регистрационные данные из успешного входа (посредством журнала обозревателя, системных журналов или перехвата настраиваемой схемы URI) и программным способом получает действительный маркер сеанса до завершения рукопожатия законным клиентом.
Примерный диапазон оценки CVSS
Высокий (7,0-8,9).
Рекомендации по влиянию риска
Неспособность внедрить PKCE во всех применимых потоках приводит к широкомасштабному перехвату сеансов и несанкционированному доступу к данным, особенно в тех интеграциях, где статический секрет клиента либо не используется, либо взломан.
Повышенный риск при
Риск выше для общедоступных клиентов, например, нативных мобильных приложений и одностраничных веб-приложений (SPA), поскольку эти платформы не могут безопасно хранить секрет клиента и часто работают в средах, где можно наблюдать переадресацию трафика.
Низкий риск при
Сценарий ниже, если организация использует только конфиденциальных клиентов на защищенных серверах, которые уже внедряют обязательный секрет клиента и работают в строго изолированном периметре сети.
Рекомендации по бизнесу и интеграции
Включение этого требования во всех поддерживаемых потоках требует, чтобы все интегрированные клиентские приложения поддерживали метод трансформации S256 и управляли уникальными строками высокой энтропии для каждой транзакции.
Рекомендованное исправление
Перейдите в параметры OAuth приложения внешнего клиента и установите флажок «Требовать ключ подтверждения для обмена кодами (PKCE)» для всех поддерживаемых потоков авторизации.
Руководство по проверке состояния безопасности
Обзор состояния безопасности определяет PKCE в качестве обязательного архитектурного стандарта для всех современных процессов идентификации и авторизации, поэтому каждый обмен маркеров криптографически связан с определенным экземпляром клиента, чтобы предотвратить закачку и перехват регистрационных данных.
