5. Sicherheitsüberlegungen (Security Considerations)

Dieser Abschnitt beschreibt die relevanten Sicherheitsbedrohungen bezüglich der Token-Handhabung bei Verwendung von Bearer-Token und beschreibt, wie diese Bedrohungen gemindert werden können.

5.1. Sicherheitsbedrohungen

Token-Herstellung/Modifikation: Ein Angreifer kann ein gefälschtes Token generieren oder den Token-Inhalt ändern.
Token-Offenlegung: Token können sensible Informationen enthalten.
Token-Umleitung: Ein Angreifer verwendet ein Token für den Zugriff auf einen anderen Ressourcenserver.
Token-Wiederholung: Ein Angreifer versucht, ein bereits verwendetes Token zu verwenden.

5.2. Bedrohungsminderung

Eine breite Palette von Bedrohungen kann gemindert werden, indem der Inhalt des Tokens durch Verwendung einer digitalen Signatur oder eines Message Authentication Code (MAC) geschützt wird. Der Autorisierungsserver muss TLS implementieren.

5.3. Zusammenfassung der Empfehlungen

Bearer-Token schützen
TLS-Zertifikatsketten validieren
Immer TLS (https) verwenden
Bearer-Token nicht in Cookies speichern
Kurzlebige Bearer-Token ausstellen
Bearer-Token nicht in Seiten-URLs übergeben

5.1. Sicherheitsbedrohungen​

5.2. Bedrohungsminderung​

5.3. Zusammenfassung der Empfehlungen​

5.1. Sicherheitsbedrohungen

5.2. Bedrohungsminderung

5.3. Zusammenfassung der Empfehlungen