在隐式流程中冒充资源所有者


在隐式流程中冒充资源所有者

使用隐式授予的网站将被动通过title重定向URLtitle,从Login with Amazontitle授权服务title收到访问令牌授权服务。重定向URL。如果攻击者引诱用户登录到恶意网站,访问令牌则会由攻击者网站合法获取。然后,攻击者可以将访问令牌传递到另一网站的重定向URL,从而制造用户在尝试登录到该网站的假象。

为防止此类攻击,使用隐式流程的客户端可以先验证访问令牌是否合法,然后再使用该访问令牌检索并并完成登录。客户个人资料Login with Amazon提供了专门用于验证访问令牌的终端节点。客户端应使用此终端节点,对比自身的客户端标识符与访问令牌初始请求的客户端标识符是否匹配。如果两个客户端标识符不相匹配,登录请求将会被拒绝。

有关更多信息,请参阅验证访问令牌