「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
OAuth 2.0 Threat Model and Security Considerationsの
Authorization Serverの各Endpointに適用されるセキュリティ考慮事項。
code †
対象 †
アクセストークン・リクエスト
脅威 †
codeの不正使用(オンライン推測)
対策 †
不正使用(オンライン推測)が検出された場合、トークンを自動失効する。
refresh_token †
対象 †
アクセストークン・リクエスト
脅威 †
refresh_tokenの不正使用
- refresh_tokenの漏洩/盗難
- デバイスの盗難
- 脆弱なクライアント
- クリック・ジャッキング攻撃
- Resource Ownerの偽装
対策 †
- 制限付き発行
- 認可タイプ
- 役割
- Client
- Resource Server
- Resource Owner
- ローテーション処理の実装
- refresh_tokenを並行して使用しようとする試みを自動的に検出して防止
- リフレッシュ要求ごとにrefresh_token値を変更する
- X-FRAME-OPTIONSヘッダ
IFRAME防止によるクリックジャック攻撃の防止
Client認証 †
対象 †
脅威 †
- 脆弱なクライアント
- 悪意のあるパブリック・クライアント
- XSS攻撃
- codeフィッシング攻撃
- オープンリダイレクタ
対策 †
クライアント認証により、Authorization Server・Resource ServerがClientを識別する。
- 脆弱なClientに資格情報を発行しない。
- パブリック・クライアントの自動認可を許可すべきでない。
- client_id/(client_secret/)redirect_uriを要求。
- 要件
- インストール固有のclient_secretを使用する。
- redirect_uriのフルパス登録・検証
- 取り消し可能なclient_id/client_secret
End-User認証 †
対象 †
脅威 †
対策 †
code †
対象 †
脅威 †
対策 †
code †
対象 †
脅威 †
対策 †
code †
対象 †
脅威 †
対策 †
code †
対象 †
脅威 †
対策 †
code †
対象 †
脅威 †
対策 †
Tags: :認証基盤, :クレームベース認証, :OAuth