Поскольку OAuth 2.0 Implicit Grant Flow раскрывает свой механизм, например. с помощью JavaScript в клиентском приложении владельцу ресурса предоставляется идентификатор клиента и токен доступа. Я не смог найти четкого ответа, что можно сделать, чтобы предотвратить использование разоблачения.
Какие меры можно предпринять для предотвращения проблем в следующем сценарии? Если очевидно, что я неправильно понимаю поток, пожалуйста, укажите.
Сценарий
Клиент А — легитимный клиент, которому сервер авторизации предоставил собственный уникальный идентификатор клиента.
Клиент Б — клиент, о котором сервер авторизации не знает, копирует идентификатор клиента Клиента А, привлекает невиновных владельцев ресурсов и использует их токены доступа для получения доступа к своей личной информации.
Вот некоторые варианты, которые я могу придумать, чтобы решить проблему.
- Создайте белый список IP-адресов и сопоставьте его с каждым известным клиентом. Сверяйтесь с сервером авторизации при авторизации и вызове сервера ресурсов.
- Установите регулирование на конечных точках сервера ресурсов, чтобы обнаруживать ненормальные действия.