我们正在使用IBM Mobile First 8.0框架和IOS应用程序。 该框架使用oAuth2.0流进行身份验证流程。
我看到在GET请求中将client_id和redirect_uri传递给授权端点。看来这个流程实际上是由Mobile First框架处理的,我对它没有任何控制权。
response_type=code
scope=
client_id=CLIENT_ID
redirect_uri=REDIRECT_URL
在GET请求中公开“client_id”和“redirect_uri”有哪些安全漏洞?
编辑:
我更改了代码中的redirect_uri并向Authorization终点发出请求。
我认为他们在框架级别完成了一些白名单,但事实并非如此。
这就是我所看到的,authorization_code被传递给hackerserver。 http://hackerserver:port/context/getdata?code=authorization_code
答案 0 :(得分:2)
没有已知风险暴露这些价值观。这些值与客户端SDK中的其他加密数据一起使用以标识客户端。他们自己还不够。
此外,正如评论中提到的iddo,您应该使用SSL / TLS。无论客户ID和诸如此类的东西,有人能够收听您的流量本身就是一个问题。