[英]FIWARE - Keyrock tokens with general permission enabling unauthorized access to applications (security issue?)
在本地Keyrock实例中,我们有两个用户A和B,分别拥有两个不同的应用程序AppA和AppB。 这两个用户均不同于默认的“管理员”用户“ idm”。 Wilma PEP代理配置有来自用户A的PEP凭据。问题是用户B可以从Keyrock IdM获得有效令牌,并且可以成功访问AppA(如上所述,该AppA已在Wilma PEP代理中通过PEP凭据注册)用户A)。
这是Keyrock + Wilma组件(GE)的默认行为还是真的存在安全问题? 我认为用户B不应访问用户A的应用程序。似乎所有令牌都是通用的,并且可以独立于用户访问所有应用程序。 我是否缺少对所有这些过程的了解?
这实际上是预期的行为。 PEP中的令牌检查只是确保用户在Keyrock中拥有一个帐户(身份验证检查)。 如果要管理对应用程序的访问,则必须创建角色并将角色分配给每个应用程序内的用户(授权检查)。
FIWARE-Keyrock:如果OAuth2凭据不控制访问,为什么它们与应用程序相关?
[英]FIWARE-Keyrock: Why are the OAuth2 credentials related to apps if they do not control access?
一旦永久弃用该权限,带有offline_access的用户访问令牌将发生什么?
[英]What exactly will happen to user access tokens with offline_access once that permission is permanently deprecated?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
