08 | 实践OAuth 2.0时,使用不当可能会导致哪些安全漏洞?
CSRF 攻击
恶意软件让浏览器向已完成用户身份认证的网站发起请求,并执行有害的操作,就是跨站请求伪造攻击。
XSS 攻击
XSS 攻击的主要手段是将恶意脚本注入到请求的输入中。
水平越权
水平越权是指,在请求受保护资源服务数据的时候,服务端应用程序未校验这条数据是否归属于当前授权的请求用户。
授权码失窃
- 授权服务在进行授权码校验的时候,没有校验 app_id_B;
- 软件 B(也就是极客时间)使用过一次 codeB 的值之后,授权服务没有删除这个 codeB;
重定向 URI 被篡改
总结
原文