Q&A
現在OAuthについて勉強しているのですが、認可コードフローにおけるリダイレクトURIのメリットがよく分からず悩んでいます。
認可サーバではリダイレクトURIを把握しているので、直接認可コードをリダイレクトURIとして登録されている先に渡せるのではないかなと考えており、ユーザを経由することで、認可コードが露呈する可能性が高まっているような気がするのですが、このリダイレクトには何か意図があるのでしょうか。
ユーザをアプリに戻したいのであれば、リダイレクトだけさせて認可コードは裏で認可サーバからクライアントに渡せばいいように思うのですが、この流れだと何か問題があるのでしょうか。(クライアント側でユーザと認可コードの紐付けが必要ですが、stateパラメータのようにクライアントと認可サーバで一意の値を共有することはできると思うので、認可サーバからクライアント側に認可コードを渡すときにstateも一緒に渡せば紐付けは可能であるように思いました。)
回答1件
0
実装の詳細がわからないので想像を含めて書きますが、通常のOAuthとは別パターンのCSRFというか、オープンリダイレクトのような攻撃ができるような気がします。
- 攻撃者はクライアント(のサーバー)から認可サーバーへのリダイレクト先のURL(state付き)を取得する
- 攻撃者は先のURLをメール等で被害者に閲覧させる
- 被害者は、URLが正規のサイトのものであるので、そこで自分のIDやパスワードを入力する
- 認可サーバー側の認証処理等が正常に終了して、リダイレクトしてクライアントに戻る
一連の処理が終わったあと、元々のstateは攻撃者のものであるので、攻撃者側のセッションに認可コード(およびアクセストークン)が渡るように思います。
通常のOAuthにおけるCSRFは、攻撃者の権限を被害者に使わせるものであるのに対して、上記は、被害者の権限を攻撃者が使えるようになるので、影響はさらに大きいように思えます。
詳細の実装が不明なので、上記の検討には抜け漏れがあるかもしれません。アイデアを持つこと自体はよいことですが、認証に関わることなので、詳細を検討しないと評価はできません。
投稿2022/01/04 09:20
総合スコア11701
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。