一位安全分析师指出,没有发送唯一的令牌来注销用户(GET请求)using Keycloak's OpenID flow。因此,可以构造一个具有注销URL的链接,并在用户不希望这样做的情况下注销该用户。这基本上是CSRF。尽管分析师认为影响相对较小,但这并不理想。特别是由于我们的应用程序具有监视功能,因此用户可能会错过潜在的更新,因为该用户在不知不觉中已注销。
我看到一些OpenID提供程序(例如login.gov)需要例如id_token与请求一起发送,这对于第三方来说很难猜到,但这似乎不是我可以在Keycloak中配置的要求。或者可以吗?