我使用 wso2 Identity Server 作为中央 IAM,并且我们将一个 Web 应用程序注册为应用程序客户端。但在安全测试期间,我们注意到用户登录时生成的承载并没有链接到他的会话。
任何有效的承载都可以用来发出请求,甚至未经原始用户授权。 如何配置 wso2 IS 以使承载唯一并链接到用户?
非常感谢。
开发者尝试解决问题但没有成功
WSO2 IS 使用 OAuth2.0 和 OpenID Connect 协议,默认情况下通常不会将令牌绑定到会话。相反,令牌绑定到客户端和用户,但不绑定到特定会话。
以下是您可以考虑的一些策略:
通过使用双向 TLS (mTLS) 证书通过绑定令牌进行客户端身份验证,这可确保提供令牌的客户端与颁发令牌的客户端是同一客户端。
发行参考代币(不透明代币)。引用令牌不是独立的,需要客户端回调服务器来验证令牌。这可以本质上将令牌链接到用户的会话,因为验证可能涉及检查用户的会话有效性。