我们有一个场景,我想用Wilma PEP代理来保护服务X.服务X在Keyrock中注册。 Wilma PEP代理包含在Keyrock中为服务X生成的PEP凭证。应用程序Y通过为此特定服务生成的适当的OAuth2凭证(服务X的client_id和client_secret)访问服务X.没关系。但是有一个问题:应用程序Z也可以使用不同的OAuth2证书(而不是服务X证书)访问服务X!FIWARE-Keyrock:如果OAuth2凭据不控制访问,为什么与应用程序相关?
如果这是可能的,为什么我们在Keyrock中生成了具有特定OAuth2凭据的应用程序,如果它们不控制任何东西?它没有任何意义!
这是一个很大的安全问题,因为一个入侵者可以在Keyrock中注册一些应用程序,并为该特定应用程序(使用其自己的OAuth2凭证)生成令牌,该入侵者可以访问在此Keyrock实例中注册的所有应用程序!