Keycloak 提供内置功能来与 Microsoft Azure AD 等不同应用程序集成。我发现一篇文章讨论了 Azure 广告中的安全漏洞。在 Keycloak 中可以进行哪些类型的配置来处理此类安全漏洞?有什么建议吗?
https://thehackernews.com/2023/06/ritic-noauth-flaw-in-microsoft-azure.html
澄清一下:您正在编写自己的应用程序。当客户端想要登录您的应用程序时,您的应用程序会将客户端重定向到 Keycloak,后者使用 MS 作为身份提供者,因此客户端会在 MS 登录页面上登录。然后,Keycloak 将客户端重定向回您的应用程序,您的应用程序现在知道客户端登录是否成功(即客户端已通过身份验证)。
正确吗?
您现在必须决定是否“授权”客户端访问您应用程序中的某些资源。你是怎样做的?您知道客户端在 Microsoft 经过身份验证,但您不知道客户端是否获得授权访问您的资源。 您可以通过检查应用程序从 Keycloak 返回的访问令牌来完成此操作。除其他内容外,访问令牌还包含 Microsoft 与该用户关联的电子邮件地址。问题是这个地址可能不正确,所以你不能使用这个电子邮件地址来决定客户可以访问你的资源。
这没什么大不了的。无论如何,您不应该使用电子邮件地址进行授权。 MS 在“索赔验证”下对此进行了解释。注: