0
J'ai lu les spécifications OAuth2 encore et encore, mais je ne peux pas comprendre une chose. Le code d'autorisation ne coule-t-il pas sans le secret client (qui est désormais recommandé pour les applications à page unique), car il peut facilement être utilisé pour le phishing? Laissez-moi vous expliquer:OAuth2 sans secret client - Phishing possible?
- Le client redirige le propriétaire de ressource vers le serveur d'autorisation, en transmettant l'URL de redirection et l'ID de client.
- Le propriétaire de ressource approuve la demande et le serveur d'autorisations le redirige vers l'URL de redirection donnée et transmet le code d'autorisation. Or, en réalité, le client qui a demandé l'autorisation est un site d'hameçonnage que l'utilisateur, malheureusement, n'a pas reconnu. L'URL de redirection transmise au serveur d'autorisations pointe vers le client malveillant, et non vers le client légitime. L'identifiant du client est une information publique, donc la mise en place d'un tel site est assez facile. Que se passe-t-il si le secret client est requis?
Le client malveillant recevra le code d'autorisation, mais il ne connaît pas le secret client légitime.
- Le serveur de ressources refusera d'envoyer un jeton d'accès, car un secret client valide n'a pas été fourni. Les informations de l'utilisateur sont sécurisées.
Mais que se passe-t-il si le serveur de ressources ne nécessite pas le secret client? Le client malveillant recevra le code d'autorisation, et même s'il ne connaît pas le secret client, il demandera un jeton d'accès.