1
由於OAuth 2.0隱式授權流程公開了其機制,例如使用JavaScript,在客戶端應用程序中向資源所有者顯示客戶端ID和訪問令牌。我無法找到明確的答案,可以做些什麼來防止利用這種曝光。OAuth 2.0隱式授權流程 - clientId和accessToken暴露安全
有什麼措施可以防止下列情況出現問題?如果很明顯我不能正確理解流程,請注意。
方案
客戶端A - 誰已經從授權服務器授予其獨特的客戶端ID的合法客戶端。
客戶端B - 授權服務器不知道的客戶端,複製客戶端A的客戶端ID,引入無辜的資源所有者並使用他們的訪問令牌訪問他們的私人信息。
這些是我能想到的一些選項來解決問題。
- 創建一個IP白名單並映射到每個已知的客戶端。在授權和調用資源服務器時檢查授權服務器。
- 在資源服務器的端點上設置限制以檢測異常活動。