Passa al contenuto principale

5. Considerazioni sulla sicurezza (Security Considerations)

Questa sezione descrive le minacce alla sicurezza rilevanti riguardanti la gestione dei token quando si utilizzano token bearer e descrive come mitigare queste minacce.

5.1. Minacce alla sicurezza

  • Fabbricazione/modifica di token: Un attaccante può generare un token falso o modificare il contenuto del token.
  • Divulgazione di token: I token possono contenere informazioni sensibili.
  • Reindirizzamento di token: Un attaccante utilizza un token per accedere a un server di risorse diverso.
  • Riproduzione di token: Un attaccante tenta di utilizzare un token già utilizzato.

5.2. Mitigazione delle minacce

Una vasta gamma di minacce può essere mitigata proteggendo il contenuto del token utilizzando una firma digitale o un codice di autenticazione del messaggio (MAC). Il server di autorizzazione deve implementare TLS.

5.3. Riepilogo delle raccomandazioni

  • Proteggere i token bearer
  • Validare le catene di certificati TLS
  • Utilizzare sempre TLS (https)
  • Non memorizzare token bearer nei cookie
  • Emettere token bearer di breve durata
  • Non passare token bearer negli URL delle pagine
Ultimo aggiornamento il