对于OAuth客户端,如果暴露client_secret,会发生什么不好的事情?

时间:2019-02-27 21:03:31

标签: oauth oauth-2.0

如果一个邪恶的用户找到了client_secret,会造成什么伤害?

1 个答案:

答案 0 :(得分:0)

tl; dr 这是一个高度的安全漏洞

如果您关注Facebook breach之类的近期事件,那么我们正在谈论类似威胁的可能性。您只是在欢迎恶意方获取访问令牌,它们可用于任何用途。您的OAuth令牌保护的端点现已受到威胁。

RFC6819 - OAuth 2.0 Threat Model and Security ConsiderationsThreat: Obtaining Client Secrets下突出显示,

  

产生的影响如下:

     
      
  • 可以对访问授权服务器的客户端进行身份验证       绕过。
  •   
  • 被盗的刷新令牌或授权“代码”可以重播
  •   

如果要与不持有客户端凭据的公共客户端进行比较,则会通过client credentials grant打开特殊的攻击媒介。因此,即使刷新令牌或授权代码是安全的,恶意方也可以利用上述授权来获取访问令牌。因此,永远不要泄露客户机密。