如果一个邪恶的用户找到了client_secret,会造成什么伤害?
答案 0 :(得分:0)
tl; dr 这是一个高度的安全漏洞
如果您关注Facebook breach之类的近期事件,那么我们正在谈论类似威胁的可能性。您只是在欢迎恶意方获取访问令牌,它们可用于任何用途。您的OAuth令牌保护的端点现已受到威胁。
RFC6819 - OAuth 2.0 Threat Model and Security Considerations在Threat: Obtaining Client Secrets下突出显示,
产生的影响如下:
- 可以对访问授权服务器的客户端进行身份验证 绕过。
- 被盗的刷新令牌或授权“代码”可以重播
如果要与不持有客户端凭据的公共客户端进行比较,则会通过client credentials grant打开特殊的攻击媒介。因此,即使刷新令牌或授权代码是安全的,恶意方也可以利用上述授权来获取访问令牌。因此,永远不要泄露客户机密。