msal库是否会阻止令牌重放攻击?
它是如何阻止某人从重定向URL中获取access token并在另一个应用程序中使用它的?
我不确定Azure AD是否处理保护或Microsoft Authentication Library (MSAL) Microsoft
它如何阻止某人从重定向URL获取访问令牌并在另一个应用程序中使用它?
有关访问URL的内容,MSAL无法真正做任何事情。这是浏览器的职责。同源策略要求只有具有相同源的页面上的脚本才能访问iframe的URL。因此,即使我在我的网站上放置了一个为您的某个应用程序隐藏登录的iframe,如果重定向URL与我的主机名不同,我将无法获取该令牌。
因此,假设您的应用配置了一个回复网址:https://yoursite.com/aad-callback。如果我想获取令牌,我的网站需要托管在yoursite.com上。我没办法让AAD将令牌返回到另一个URL。另一种选择是在飞行中拦截它到您的应用程序。但这需要在中间进行TLS连接。如果有人能做到这一点,你就会遇到更大的问题。
使用随机数阻止了重放攻击,在每个身份验证请求中设置了一个新值:https://github.com/AzureAD/microsoft-authentication-library-for-js/blob/3fb9ce5a16ea462336eee62b496dfae8611f0fbc/lib/msal-core/src/AuthenticationRequestParameters.ts#L39