Google Identity Platform 身份驗證是否比傳統的 HTTP 只有 cookies 更容易受到攻擊？

Question

我正在嘗試使用諸如 Firebase 和 Google 身份平台 (GIP) 之類的解決方案來了解無服務器 web 應用程序的身份驗證架構。 在基於服務器的架構中，我們通常設置一個僅包含身份驗證詳細信息的 HTTP cookie，以防止 XSS 攻擊或惡意 chrome 擴展程序讀取此信息。

在我對 GIP 的實驗中，我注意到 SDK 將來自 GIP 的響應存儲在 IndexedDB 中，並且可以直接提取訪問令牌、刷新令牌和其他有用的用戶詳細信息。 如果我理解正確，有權訪問這些令牌的演員可以冒充用戶。

如果代碼注入是一種可行的攻擊媒介，這是否會使這種方法比基於服務器的方法更容易受到攻擊？

編輯

我在官方文檔中找到了這篇文章，討論了 HTTP 僅 session cookies 對 ID 令牌的好處，並展示了如何創建它們。

Answer 1

如建議的那樣，約翰·漢利在上面的評論中請將此問題移至 Stack Exchange Information Security

1. 如果客戶端瀏覽器受到代碼注入的影響，則瀏覽器中的任何內容都不是安全的。
2. 是的，令牌可以允許用戶冒充。 由於這些令牌是 OAuth，因此它們的生命周期很短（3,600 秒）。
3. OIDC 身份令牌的受眾將其使用限制為單一服務。
4. 您是否有提取這些令牌並在其他地方使用它們的概念證明？
5. 關於 cookies 和 IndexedDB 的優缺點有很多文章。 了解安全弱點需要清楚地識別環境。 我建議您將此問題移至 Stack Exchange 信息安全： security.stackexchange.com

同樣正如坦率的建議，請查看 Firebase App Check及其服務器端安全規則。