OAuth徹底入門の読書感想文 -10章-
OAuth徹底入門を読んだので感想と概要を書いていきます
9章については先日書きました
今回は10章についてです
10章 よく狙われるOAuthトークンの脆弱性
Bearerトークンとは
OAuth2.0ではBearerトークンをセキュリティを担保する仕組みとして使う
Bearerトークンはトークンの所有者が誰であれ、そのトークンをリソースへのアクセスのために使用することができる
(ちなみにBearerとは持参者とかいった意味)
OAuthのBearerトークンに関した脅威には以下のものがある
- トークンの偽造 (Token Forgery)
- トークンのリプレイ (Token Replay)
- 攻撃者がトークンの有効期限がきれてしばらく経ってから再利用しようとしてくる場合がある。リソース・サーバーはその際エラーを返さなければならない
- トークンの流用 (Token Redirect)
- 攻撃者はあるリソース・サーバーで生成されたトークンを別のリソース・サーバーへ送信する場合がある
- トークンからの漏洩 (Token Disclosure)
- トークンはシステムに関する機密情報を含んでいることがある、攻撃者に情報を見られてしまう場合がある
Bearerトークンをどのように保護するか
- 安全ではないチャネル場で送らせない
- クライアント側ではトークンのもつスコープを必要最低限に絞っておく
- 認可サーバーではアクセストークンをハッシュ値でもつ、トークンの有効期限を短くする
- 保護対象リソースではトークンをログに残さない、なんでもできるような特別なアクセストークンを使用しない
感想
ついにBearerの意味がわかった (調べろって話なんだが、、)
トークン自体はただ保護対象リソースに提示されるものなので、7、8、9章で説明されてたクライアントや認可サーバーや保護対象リソースがどのようにトークンを守るかという話とかぶる部分は多かった