OPEN

인가 코드는 쿼리 파라미터로 넘어오므로 브라우저 기록에 유지됩니다. 로그아웃을 해도 브라우저 기록은 지워지지 않습니다. 공격자가 동일한 브라우저를 이용하여 자신의 정보로 로그인을 하고 브라우저 기록에 있는 이전 자원 소유자 세션의 인가 코드를 삽입하면 이전 자원 소유자의 자원에 접근할 수 있게 됩니다. 그렇기 때문에 인가 서버는 인가 코드를 두 번 이상 사용하면 요청을 거부해야 하며 가능하면 인가 코드를 기반으로 이전에 발행된 모든 토큰을 취소하게 구현해야 합니다. 이러한 검사가 없으면 다른 클라이언트에 대해 발행된 인가 코드를 사용하여 접근 토큰을 얻을 수 있기 때문입니다.

Plugin Backlinks: 아무 것도 없습니다.