0
우리는 Wilma PEP Proxy로 서비스 X를 보호하고자하는 시나리오를 가지고 있습니다. 서비스 X는 Keyrock에 등록되어 있습니다. Wilma PEP Proxy는 서비스 X에 대해 Keyrock에서 생성 된 PEP 자격 증명을 포함합니다. 응용 프로그램 Y는이 특정 서비스 (서비스 X의 client_id 및 client_secret)에 대해 생성 된 적절한 OAuth2 자격 증명을 사용하여 서비스 X에 액세스합니다. 괜찮아. 그러나 문제가 있습니다. 애플리케이션 Z는 다른 OAuth2 자격 증명 (서비스 X 자격 증명 아님)을 사용하여 서비스 X에 대한 액세스를 얻습니다 !!FIWARE-Keyrock : OAuth2 자격증 명이 액세스를 제어하지 않는 이유는 무엇입니까?
가능하다면 아무 것도 제어하지 않으면 Keyrock에서 특정 OAuth2 자격증 명과 함께 응용 프로그램이 생성되는 이유는 무엇입니까? 그것은 이해가되지 않습니다!
하나의 침입자가 Keyrock에 특정 응용 프로그램을 등록 할 수 있고이 특정 응용 프로그램에 대해 생성 된 토큰 (자체 OAuth2 자격 증명으로)을이 침입자가이 Keyrock 인스턴스에 등록 된 모든 응용 프로그램에 액세스 할 수 있기 때문에 큰 보안 문제입니다!