Должны ли мы проверить токен в случае потока кода авторизации?

Question

Это know problem, что Мгновенный поток борется с запутанной проблемой, поэтому вам нужно проверить, был ли получен доступ к вашему приложению.

Я всегда считал, что это не проблема для потока кода авторизации, но в this answer было упомянуто, что это не так, и вы должны проверить токен даже в потоке токена авторизации.

Но, честно говоря, я не могу понять рабочий процесс, где это необходимо. Как и мы получаем код, а затем делаем прямой запрос для токена (с указанием client_secret). Я не понимаю, как мы можем быть вынуждены использовать неправильный токен в этом потоке.

Answer 1

Ответ, на который вы ссылаетесь, говорит о access_token, доставленном на сервер ресурсов. Это также в общем случае, когда применяется проблема «путаного депутата».

В своем сообщении вы ссылаетесь на Авторизованный код, предоставленный Клиенту. Это отличается и не страдает от того же запутанного заместителя атаки, как описано.

Следует отметить, что тип предоставления разрешающего кода может быть уязвим к соответствующей атаке («Authorization Server Mixup»), если Клиент несколько раз ссылается на несколько серверов авторизации (AS) по той же причине: Клиент не может определить, действительно ли авторизационный код выпущен AS, с которым, по его мнению, он разговаривает. Регистрирование URI редиректа, которое является специфическим для каждой AS, обращается к этому.