Oauth2 PKCE - Si può fidare del refresh_token?

Naviga le tue risposte
1

Se un cellulare è autorizzato contro il mio server utilizzando PKCE, che gli consente di ottenere un access_token e un refresh_token , in che misura devo fidarmi che l'app possa usare refresh_token da ora in poi ottenere il access_token ? Sicuramente le stesse preoccupazioni che hanno portato lo standard per inventare PKCE sono in gioco qui?

Ti sto chiedendo perché mentre stavo giocando con una libreria Ruby per Auth2, ho scoperto che questo è OK da fare, il che mi ha perplesso. Questo caso d'uso non dovrebbe semplicemente vietare refresh_tokens?

EDIT: Non sono sicuro se questa sarà la risposta, ma forse assumiamo che (dato una connessione TLS), il refresh_token sia stato rinviato all'app in modo sicuro e finché l'app sta parlando al server direttamente siamo bravi?

    
posta James M 03.12.2018 - 18:09
fonte

1 risposta

0

La concessione del codice di autorizzazione OAuth2 ha due fasi:

  1. Scambia credenziali primarie per un codice di autorizzazione utilizzando il reindirizzamento del browser
  2. Scambia il codice di autorizzazione per un token di accesso (e facoltativamente un token di aggiornamento) su un canale sicuro

Per le app native, ci sono alcune situazioni in cui il reindirizzamento del browser può esporre la risposta reindirizzata a un'altra parte. Vedi RFC 8252 per i dettagli e nota la Sezione 8.1 che descrive il problema risolto da PKCE.

PKCE garantisce che se il codice di autorizzazione viene esposto a un'altra parte, allora quella parte non può utilizzare il token di autenticazione per ottenere i token di accesso e di aggiornamento.

Il secondo passaggio non utilizza il reindirizzamento del browser. Pertanto, i token sensibili restituiti non possono essere esposti allo stesso modo.

Poiché il token di aggiornamento viene restituito utilizzando un canale sicuro, è sicuro utilizzarlo per ottenere un nuovo token di accesso senza richiedere la verifica PKCE e verificare i passaggi.

    
risposta data 08.01.2019 - 18:24
fonte

Leggi altre domande sui tag

CORS che accetta l'origine arbitraria con GET ma non con OPTIONS Esiste un elenco compilato di certificati TEE (Trusted Execution Environment) / certificati CA?