v2.5.2
Giriş yap

Access Token & CSRF Güvenliği Hk.

obey00
528 defa görüntülendi

Merhabalar;
Bir app geliştiriyorum. App'e erişim için senaryoyu şu şekilde:
1- Öncelikle kullanıcı OAuth grant access kısmı geliyor
2- Kullanıcı grant access ekranın uygulamaya erişimi kabul ediyor
3- Access token alınıyor ve uygulamaya yönlendiriliyor.

Bu senaryo, herhangi bir sosyal medyada erişim izni verirken vs. sıkça karşılaştığımız bir olay.
Benim burada merak ettiğim ise; bu senaryoyu nasıl koruyabilir/nelere dikkat edebilirim?

Örneğin: Token request eden kişinin IP'si ile, redirect url'ye gittikten sonraki IP'ler aynı mı?
Session/cache güvenlik senaryoları ne olabilir?
Grant access almadan uygulama içerisine erişimi engelleyebilecek önlemler vs.

Fikirlerinizi bekliyorum, teşekkürler.

admin
1128 gün önce

Buradaki genel sorun tokenin iptal edilebiliyor olmasi bence. Coğu uygulamada bu es geçiliyor. Refresh tokenin süresi de azaltılabilir ama tokeni iptal edebilmenin önemli olduğunu düsünüyorum. Bu arada bu konu da uzman sayılmam.