安全建议
- 使用维护中的 OIDC 客户端库并启用 PKCE S256。
- 每次授权生成独立、高熵、一次性的
state、nonce与code_verifier。 - ID Token 校验签名、
iss、aud、exp和nonce。 - Redirect URI 与 Origin 使用最小集合,不登记通配符。
- Web 客户端的 Secret 仅存储于服务端 Secret 管理系统。
- 使用 HTTPS,设置严格 CSP,并避免在 URL、日志和分析事件中出现令牌。
- Refresh Token 轮换时原子替换,检测
invalid_grant后停止重试。 - 提供本地会话注销、令牌撤销与账号中心授权管理入口。
Web 客户端
Section titled “Web 客户端”优先把令牌保存在加密的服务端会话中,并向浏览器签发 HttpOnly; Secure; SameSite=Lax 的应用会话 Cookie。避免直接把 OAuth 令牌暴露给页面脚本。
Access Token 尽量只保留在内存;必要时通过安全后端(BFF)管理刷新令牌。任何可执行任意 JavaScript 的 XSS 都可能绕过浏览器存储策略,因此 CSP、依赖治理和输出编码不可省略。
安全报告应包含影响、复现所需的最小步骤与请求 ID。请先删除密码、令牌、授权码、Secret、恢复码和不必要的个人信息。