GoogleのOAuth 2.0実装におけるToken置換攻撃の防ぎ方 - r-weblifeこんばんは, ritouです. OAuth.jpのnov先生のポストにもある通り, OAuthのImplicit GrantにおけるToken置換攻撃の話や対策についてはFacebookが話題の中心だったりします. この前Google+の新機能について調べたついでにGoogleのImplicit周りの実装について確認したので, GoogleのOAuthにおいてToken置換攻撃をどのように防ぐべきかを共有します. (中の人でも啓蒙する立場でもなく勝手に調べただけなのであしからず) ClientがWebServerを利用しない場合 : Access Tokenの内容を確認するAPIをたたく Token置換攻撃への対策として必要なのは, Clientが受け取ったTokenが自分用に発行されたものかどうかの確認を行うことです. Googleの場合, Access Tokenの中身を確認するEnd
