「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>OAuth 2.0 Threat Model and Security Considerations]]

* 目次 [#ff55f5a3]
#contents

*概要 [#i38da113]
OAuth 2.0 Threat Model and Security ConsiderationsのFlowに着目したセキュリティに関する考慮事項。

* [#v5721a5d]
* Authorization code [#v5721a5d]

**codeの盗聴または漏洩 [#u5dfaabe]

***影響(小) [#uea5e361]
-codeを用いたアクセストークン・リクエストが可能になる。~
(access_token, refresh_tokenの開示)

-ただし、client_secretも必要。

***攻撃 [#h7eab0fb]
-[[オープンリダイレクタ>OAuth 2.0 Threat Model and Security Considerations#mb0f0219]]

-HTTP referer~
認可エンドポイント → Redirectエンドポイントへのリダイレクト。

-WWWサーバの要求ログ

-WWWブラウザの履歴情報

***対策 [#xcaf95ff]
-SSL/TLSの利用
-クライアント認証
-短い有効期限
-1回限りの使用制限

-ブラウザキャッシュを自動的にクリーンアップするために、~
リダイレクトURIのターゲットページをリロードする。

**オンライン推測によるcodeの取得 [#nf3c8c21]
***影響(小) [#y471fae0]
-codeを用いたアクセストークン・リクエストが可能になる。~
(access_token, refresh_tokenの開示)

-ただし、client_secretも必要。

***攻撃 [#hd7112de]
***対策 [#e7dc0993]

----
Tags: [[:認証基盤]], [[:クレームベース認証]], [[:OAuth]]


トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS