인증 코드 흐름의 경우 토큰을 점검해야합니까?

Question

인스턴트 플로우가 혼란스러운 문제에서 고생하는 것은 know problem이므로받은 access_token이 애플리케이션에 주어 졌는지 확인해야합니다.

나는 항상 인증 코드 흐름에 문제가 없다고 생각했지만 this answer에 언급되지 않았지만 권한 토큰 흐름에서도 토큰을 확인해야한다고 언급했습니다.

솔직히 나는 필요한 워크 플로를 파악할 수 없습니다. 우리가 코드를 받고 토큰 (client_secret 지정)을 직접 요청하는 것처럼. 이 흐름에서 잘못된 토큰을 사용하도록 강제 할 수있는 방법을 이해하지 못합니다.

Answer 1

access_token에 대한 답변은 리소스 서버에 전달됩니다. 또한 일반적으로 "혼란스러운 대리인"문제가 적용되는 곳이기도합니다.

귀하의 게시물에 귀하는 고객에게 전달 된 인증 코드를 참조하십시오. 그것은 다르며 설명 된 것과 같은 혼란스러운 대리 공격으로 고통받지 않습니다.

클라이언트가 동일한 이유로 여러 인증 서버 (AS)와 통신하는 경우 Authorization Code 부여 유형이 관련 공격 ("Authorization Server Mixup")에 취약 할 수 있습니다. 클라이언트는 다음을 수행 할 수 없습니다. 인증 코드가 실제로 AS와 통신한다고 생각할 때 인증 코드가 실제로 발급되는지 여부를 감지합니다. 각 AS에 특정한 리다이렉트 URI를 등록하면이를 처리합니다.