跳转到内容

安全建议

  • 使用维护中的 OIDC 客户端库并启用 PKCE S256。
  • 每次授权生成独立、高熵、一次性的 statenoncecode_verifier
  • ID Token 校验签名、issaudexpnonce
  • Redirect URI 与 Origin 使用最小集合,不登记通配符。
  • Web 客户端的 Secret 仅存储于服务端 Secret 管理系统。
  • 使用 HTTPS,设置严格 CSP,并避免在 URL、日志和分析事件中出现令牌。
  • Refresh Token 轮换时原子替换,检测 invalid_grant 后停止重试。
  • 提供本地会话注销、令牌撤销与账号中心授权管理入口。

优先把令牌保存在加密的服务端会话中,并向浏览器签发 HttpOnly; Secure; SameSite=Lax 的应用会话 Cookie。避免直接把 OAuth 令牌暴露给页面脚本。

Access Token 尽量只保留在内存;必要时通过安全后端(BFF)管理刷新令牌。任何可执行任意 JavaScript 的 XSS 都可能绕过浏览器存储策略,因此 CSP、依赖治理和输出编码不可省略。

安全报告应包含影响、复现所需的最小步骤与请求 ID。请先删除密码、令牌、授权码、Secret、恢复码和不必要的个人信息。