Question

У меня есть мобильное приложение, и я хочу использовать OpenId Connect для аутентификации пользователей по отношению к внешнему провайдеру аутентификации. Мне нужен только id_token, чтобы получить адрес электронной почты пользователей, мне не нужен токен доступа (по крайней мере, на данный момент).

Есть ли какие-либо уязвимости в использовании гибридного потока, когда я делаю первый запрос на фронтальный канал и я установил response type = code id_token? Если / когда я собираюсь использовать токен доступа, я планирую отправить код бэкэнду для обмена на токен доступа. Я просто не уверен, есть ли какие-либо уязвимости при получении id_token на переднем канале.

Gary Archer · Answer 1 · 12 февраля 2020

Стандартный поток для мобильных приложений должен состоять в том, чтобы перенаправить с кодом response_type =, как в шаге 8 из my write .

Затем вы получаете только код авторизации и выполняете код авторизации предоставить сообщение для получения токенов. Независимо от того, получите ли вы токен доступа, можно настроить в записи клиента на сервере авторизации.

Вы должны использовать параметры PKCE, чтобы никто не мог получить токены, если они случайно перехватят код авторизации.

Если вы не можете предотвратить возвращение токена доступа, вы можете просто удалить его из памяти.

OpenID Connect Hybrid Flow только для аутентификации

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

OpenID Connect Hybrid Flow только для аутентификации

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы