问题描述
借助OAuth 2.0 PKCE Flow for Installed App(例如桌面应用程序/ cli / client库),似乎没有什么可以阻止攻击者:
- 使用原始应用获取
client_id
(client_id是公开的,可以从浏览器栏/源代码轻松复制) - 制作假冒应用程序以模仿原始应用程序
- 使用虚假应用诱使用户授予访问权限,从而获得刷新令牌,这实际上意味着在请求范围内的完全访问权限
没有PKCE,很难伪造一个应用并获得刷新令牌,因为这将要求攻击者获得client_secret
。在我看来,尽管PKCE改进了隐式流的安全性,但它使伪装使用OAuth 2.0的真实应用变得如此容易吗?
我正在使用googlecloudsdk(gcloud),它似乎已将client_id(甚至很多client_id/client_secret pairs)硬编码到源代码中,并分发给客户端。我怀疑是否有任何方法可以阻止攻击者伪造gcloud,从而获得对用户GCP环境的访问权限(为证明起见,运行gcloud auth login
,它将在控制台中显示攻击者所需的URL。)有人可以澄清/帮助我吗?了解发生了什么事?
解决方法
私有URI方案可能是您在台式机上可以做的最好的方案,但并不完美。这就是我用于Desktop Code Sample的方式,但理想情况下,我也想解决以上问题。
对于移动设备,您可以使用“声明的HTTPS方案”解决问题-请参阅我添加到发送的sllopis后的答案。
我会意识到Updated OAuth 2.1 Guidance for Native Apps-请参阅第10节-但我认为您无法完全解决此问题。
期望最终用户在安装桌面应用程序时要格外小心,以减少这种情况下的风险。希望操作系统支持将在将来提供更好的加密选项。