0
我們有一個場景,我想用Wilma PEP代理來保護服務X.服務X在Keyrock中註冊。 Wilma PEP代理包含在Keyrock中爲服務X生成的PEP憑證。應用程序Y通過爲此特定服務生成的適當的OAuth2憑證(服務X的client_id和client_secret)訪問服務X.沒關係。但是有一個問題:應用程序Z也可以使用不同的OAuth2證書(而不是服務X證書)訪問服務X!FIWARE-Keyrock:如果OAuth2憑據不控制訪問,爲什麼與應用程序相關?
如果這是可能的,爲什麼我們在Keyrock中生成了具有特定OAuth2憑據的應用程序,如果它們不控制任何東西?它沒有任何意義!
這是一個很大的安全問題,因爲一個入侵者可以在Keyrock中註冊一些應用程序,併爲該特定應用程序(使用其自己的OAuth2憑證)生成令牌,該入侵者可以訪問在此Keyrock實例中註冊的所有應用程序!