跳到主要内容

5. 安全考虑事项 (Security Considerations)

[RFC6749] 第 10 节, 即 The OAuth 2.0 Authorization Framework 中的 Security Considerations, 大部分指导也适用于这里. 此外, [RFC6819] 为 OAuth 提供了额外的安全考虑事项, [OAUTH-SECURITY] 则基于部署经验以及 OAuth 2.0 最初发布后出现的新威胁, 更新了安全指导.

[JWT] 中讨论的所有常规安全问题也适用于这里, 尤其是与比较 URI 和处理无法识别的值有关的问题.

此外, delegation 和 impersonation 都会引入独有的安全问题. 只要一个 principal 被委派了另一个 principal 的权利, 滥用的可能性就是一个需要关注的问题. 建议使用 "scope" claim 来缓解这种滥用风险, 同时也可使用其他典型约束, 例如有限的 token lifetime, 因为 "scope" claim 会限制被委派权利可以行使的上下文.