OAuth2 state handling security enhancement

Description

There is no platform-specific feature, no UI change. For details please visit JC-51.

Environment

None

Preliminary Test Cases

Positive test: Authorization features works
Negative test: alter an existing secret key and test if the callback handler fires an error (stops Authorization)

Activity

Show:
István Verhás
July 9, 2020, 2:23 PM

Sikerült reprodukálni a problémát. Kiderítettem, hogy a fasterxml dependencia verzió növelése a Jeti Core 1.3-SNAPSHOT-ban okozta. Visszaállítva a verziót rendben működik. Az új build itt érhető el https://bamboo.dev.meta-inf.hu/browse/JETI-JB204-4

István Verhás
July 12, 2020, 6:58 PM

Valójában tudjuk, hogy így működik. Az alapműködési logika az, hogy egy sikeres authorizáció során elmentjük az acces és refresh tokeneket. Ha módosítod az oauth credentials az nincs hatással a lementett access és refresh tokenekre így azok továbbra is használhatóak maradnak. Amikor újra akarsz authorizálni akkor elakad a hibás credentials miatt DE ez nem módosítja a mentett access és refresh tokeneket. Ezen lehet elmélkedni, hogy jó-e így. Annyit tudok adalékul adni hozzá, hogy egy hibás authorizáció önmagában nem vonja vissza az egyszer megadott feljogosítást. Ha vissza akarod vonni az authorizáció eredményét, akkor azt a Microsoft/Google oldalon kell megtenni a dokumentációnak megfelelő módon. A screenshot-on látható, egymásnak látszólag ellentmondó hibaüzenetek is ebből a fent vázolt működésből adódnak.

Az összes felvetett kérdés független a state handling security enhancement témától.

István Verhás
July 30, 2020, 6:44 PM
Flagged

Assignee

Patrick Bakos

Reporter

István Verhás

Labels

Access to limited visibility issues

None

Product platform

None

Module Dependency

None

Ready for Development

None

Target version

None

Time tracking

0m

Time remaining

0m

Epic Link

Sprint

None

Fix versions

Priority

Major
Configure