インプリシットフローにおけるリソース所有者の偽装

インプリシットフローにおけるリソース所有者の偽装

インプリシットグラントを使用しているウェブサイトは、リダイレクトURLを介して受動的にLogin with Amazon認可サービスからアクセストークンを受け取ります。攻撃者が仕掛けた悪意のあるサイトにユーザーがログインすると、攻撃者のサイトに正規のアクセストークンが送信されます。攻撃者はそのアクセストークンを別のサイトのリダイレクトURLに渡し、ユーザーがログインしているように見せかけます。

こうした攻撃を防ぐため、インプリシットフローを使用しているクライアントは、アクセストークンの正当性を確認してからトークンとユーザープロファイルを交換し、ログインを完了させることができます。Login with Amazonは、アクセストークンを確認するために専用のエンドポイントを用意しています。クライアントはそのエンドポイントを使用して、自身のクライアント識別子と、最初にアクセストークンをリクエストしたクライアント識別子を比較します。クライアント識別子が一致しなければ、ログインリクエストは拒否されます。

詳細については、アクセストークンの確認を参照してください。