v2.5.2
Giriş yap

Access Token & CSRF Güvenliği Hk.

obey00
528 defa görüntülendi

Merhabalar;
Bir app geliştiriyorum. App'e erişim için senaryoyu şu şekilde:
1- Öncelikle kullanıcı OAuth grant access kısmı geliyor
2- Kullanıcı grant access ekranın uygulamaya erişimi kabul ediyor
3- Access token alınıyor ve uygulamaya yönlendiriliyor.

Bu senaryo, herhangi bir sosyal medyada erişim izni verirken vs. sıkça karşılaştığımız bir olay.
Benim burada merak ettiğim ise; bu senaryoyu nasıl koruyabilir/nelere dikkat edebilirim?

Örneğin: Token request eden kişinin IP'si ile, redirect url'ye gittikten sonraki IP'ler aynı mı?
Session/cache güvenlik senaryoları ne olabilir?
Grant access almadan uygulama içerisine erişimi engelleyebilecek önlemler vs.

Fikirlerinizi bekliyorum, teşekkürler.

admin
1126 gün önce

tokenin senin iptal etmen gerekiyor. kullanici zaten iptal edemez. @obey00