[英]FIWARE - Keyrock tokens with general permission enabling unauthorized access to applications (security issue?)
在本地Keyrock實例中,我們有兩個用戶A和B,分別擁有兩個不同的應用程序AppA和AppB。 這兩個用戶均不同於默認的“管理員”用戶“ idm”。 Wilma PEP代理配置有來自用戶A的PEP憑據。問題是用戶B可以從Keyrock IdM獲得有效令牌,並且可以成功訪問AppA(如上所述,該AppA已在Wilma PEP代理中通過PEP憑據注冊)用戶A)。
這是Keyrock + Wilma組件(GE)的默認行為還是真的存在安全問題? 我認為用戶B不應訪問用戶A的應用程序。似乎所有令牌都是通用的,並且可以獨立於用戶訪問所有應用程序。 我是否缺少對所有這些過程的了解?
這實際上是預期的行為。 PEP中的令牌檢查只是確保用戶在Keyrock中擁有一個帳戶(身份驗證檢查)。 如果要管理對應用程序的訪問,則必須創建角色並將角色分配給每個應用程序內的用戶(授權檢查)。
FIWARE-Keyrock:如果OAuth2憑據不控制訪問,為什么它們與應用程序相關?
[英]FIWARE-Keyrock: Why are the OAuth2 credentials related to apps if they do not control access?
一旦永久棄用該權限,帶有offline_access的用戶訪問令牌將發生什么?
[英]What exactly will happen to user access tokens with offline_access once that permission is permanently deprecated?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
