Атаки через новый OAuth flow, authorization code injection, и помогут ли HttpOnly, PKCE и BFF

[AIring]

Спасибо за отличную статью!

Правильно ли я понимаю, что атака строится на том, что похищенного authorization response злоумышленнику достаточно для того, чтобы обмануть наш бэкенд и получить cookie с итоговой сессией?
А что если мы помимо проверки authorization response в IdP, добавим на нашем бэкенде дополнительную проверку нашего собственного секрета, который должен быть заранее сохранен как http-only cookie в ответ на инициализирующий запрос?

[AIring]

Сам спросил, сам отвечаю: это будет тоже самое, что и установка pre_auth_session в куку в 3 варианте с pkce из статьи. Злоумышленнику не нужно перехватывать секрет, он сам может получить его с нашего бэка отправив аналогичный запрос.

[vmrm]

Спасибо большое, очень интересно! Прекрасная статья!