在使用MFP 8.0实施/测试身份验证模块时,我们注意到了安全漏洞。
我们正在使用MFP Web SDK构建MobileFirst 8基于Web的应用程序,我们根据凭据验证安全检查实施了安全检查: https://mobilefirstplatform.ibmcloud.com/tutorials/en/foundation/8.0/authentication-and-security/credentials-validation/
在客户端,用户通过身份验证后,我们发现MFP Web SDK正在使用LocalStorage保存以下条目:
com.mfp.browser.uniqueid,com.sample.pincodeweb.com.mfp.oauth.application.data and com.sample.pincodeweb.com.mfp.oauth.clientid
问题是当我们从经过身份验证的用户的浏览器中获取clientid键/值对并将它们插入到一个全新的不同浏览器中时,遗憾的是我们发现用户在新浏览器中已经过完全授权和身份验证,即使我们没有提供任何用户凭据,也没有重定向到登录。
我们在PinCode示例上尝试过: https://github.com/MobileFirst-Platform-Developer-Center/PinCodeWeb/tree/release80
即使是用户身份验证也会遇到同样的问题。