MASWE-0033: 认证或授权协议安全最佳实践未遵循

Beta 版内容

此内容处于 beta 版，仍在积极开发中，因此随时可能发生变化（例如结构、ID、内容、URL 等）。

发送反馈

占位符漏洞

此弱点尚未创建，目前为**占位符**。但您可以查看其状态或自行着手处理。如果该问题尚未分配，您可以申请分配给自己，并按照我们的指南提交包含该弱点新内容的 PR。

查看我们 GitHub 上关于 MASWE-0033 的 Issues

初始描述或提示

例如，在使用 OAuth2 时，应用程序没有使用 PKCE 等。参见 RFC-8252。侧重于客户端的最佳实践。

相关主题

• 来自 RFC-8252 的最佳实践
• SSO -> OpenID Connect (OIDC)
• 使用 Google 服务账号
• 使用 RISC
• 针对企业版使用 Apple 重定向扩展
• 使用 SFAuthenticationSession（已弃用）而非 ASWebAuthenticationSession
• 使用 X.509v3 证书的安全双向认证
• 使用上下文为认证增加安全性，例如通过 IP 或位置数据
• 在 iOS 上为会话调用 start 之前将 prefersEphemeralWebBrowserSession 设置为 true

参考资料

• https://mobidev.biz/blog/single-sign-on-sso-implementation-benefits-enterprise
• https://developers.google.com/identity/protocols/risc
• https://developer.apple.com/documentation/authenticationservices/aswebauthenticationsession/3237231-prefersephemeralwebbrowsersessio?language=objc
• https://developer.apple.com/videos/play/tech-talks/301
• https://developers.google.com/identity/protocols/oauth2

MASTG v1 覆盖范围

MASTG v1 中没有与此弱点相关的测试。