包含code参数的GET请求是否存在OAuth2认证漏洞?
Is the GET request containing the code parameter vulnerable in OAuth2 authentication?
我目前正在评估使用 Oauth2 身份验证的应用程序的安全性。
在 Oauth 舞蹈期间,在浏览器 A 中与用户 John Doe 进行身份验证时,请求之一是:
获取 https://siteImAssessing.cxx/?code=LongOAUTH2AuthorizationCode
我注意到我可以在不同的浏览器(浏览器 B)中复制并粘贴该请求,并且我也可以在该浏览器中成为 John Doe,而无需输入 John Doe 的凭据。 (我也在浏览器 B 中收到新的 JWT 令牌)
这会被视为正常的 Oauth2 行为吗?
- 代码的值将在 5 分钟后以及用户在浏览器 A 或 B 中刷新浏览器时过期window。
谢谢,
不,您不能在两种浏览器中都成为 John Doe。授权码只能使用一次(参见https://www.rfc-editor.org/rfc/rfc6749#page-27)。 code获取token后应该失效
如果您可以从另一个浏览器(会话)复制请求并成功执行它,则意味着授权服务器没有在使用后使代码失效。您可能想向授权服务器的供应商提交错误。
我目前正在评估使用 Oauth2 身份验证的应用程序的安全性。 在 Oauth 舞蹈期间,在浏览器 A 中与用户 John Doe 进行身份验证时,请求之一是: 获取 https://siteImAssessing.cxx/?code=LongOAUTH2AuthorizationCode
我注意到我可以在不同的浏览器(浏览器 B)中复制并粘贴该请求,并且我也可以在该浏览器中成为 John Doe,而无需输入 John Doe 的凭据。 (我也在浏览器 B 中收到新的 JWT 令牌)
这会被视为正常的 Oauth2 行为吗?
- 代码的值将在 5 分钟后以及用户在浏览器 A 或 B 中刷新浏览器时过期window。
谢谢,
不,您不能在两种浏览器中都成为 John Doe。授权码只能使用一次(参见https://www.rfc-editor.org/rfc/rfc6749#page-27)。 code获取token后应该失效
如果您可以从另一个浏览器(会话)复制请求并成功执行它,则意味着授权服务器没有在使用后使代码失效。您可能想向授权服务器的供应商提交错误。