OAuthにおけるリダイレクトURIのメリットについて

現在OAuthについて勉強しているのですが、認可コードフローにおけるリダイレクトURIのメリットがよく分からず悩んでいます。
認可サーバではリダイレクトURIを把握しているので、直接認可コードをリダイレクトURIとして登録されている先に渡せるのではないかなと考えており、ユーザを経由することで、認可コードが露呈する可能性が高まっているような気がするのですが、このリダイレクトには何か意図があるのでしょうか。
ユーザをアプリに戻したいのであれば、リダイレクトだけさせて認可コードは裏で認可サーバからクライアントに渡せばいいように思うのですが、この流れだと何か問題があるのでしょうか。(クライアント側でユーザと認可コードの紐付けが必要ですが、stateパラメータのようにクライアントと認可サーバで一意の値を共有することはできると思うので、認可サーバからクライアント側に認可コードを渡すときにstateも一緒に渡せば紐付けは可能であるように思いました。)

行動規範の内容に同意します

回答1件

実装の詳細がわからないので想像を含めて書きますが、通常のOAuthとは別パターンのCSRFというか、オープンリダイレクトのような攻撃ができるような気がします。

攻撃者はクライアント（のサーバー）から認可サーバーへのリダイレクト先のURL（state付き）を取得する
攻撃者は先のURLをメール等で被害者に閲覧させる
被害者は、URLが正規のサイトのものであるので、そこで自分のIDやパスワードを入力する
認可サーバー側の認証処理等が正常に終了して、リダイレクトしてクライアントに戻る

一連の処理が終わったあと、元々のstateは攻撃者のものであるので、攻撃者側のセッションに認可コード（およびアクセストークン）が渡るように思います。
通常のOAuthにおけるCSRFは、攻撃者の権限を被害者に使わせるものであるのに対して、上記は、被害者の権限を攻撃者が使えるようになるので、影響はさらに大きいように思えます。

詳細の実装が不明なので、上記の検討には抜け漏れがあるかもしれません。アイデアを持つこと自体はよいことですが、認証に関わることなので、詳細を検討しないと評価はできません。

投稿2022/01/04 09:20