关于 “Sign in with Apple” 安全漏洞的疑问
資深大佬 : rogwan 0
苹果承认这个漏洞并给报告者 10 万美金奖励,证实了漏洞的存在和严重性。
有两个疑问:
1 、 “Sign in with Apple” 符合 oath2.0 标准吗?
2 、苹果发出的 jwt 令牌没有过期时间吗?(按理说有过期时间应该就不用再次验证吧?)
> 通过“Sign in with Apple”验证用户的时候,服务器会包含秘密信息的 JSON Web Token ( JWT ),第三方应用会使用 JWT 来确认登录用户的身份。Bhavuk 发现,虽然苹果公司在发起请求之前要求用户先登录到自己的苹果账户,但在下一步的验证服务器上,它并没有验证是否是同一个人在请求 JSON Web Token(JWT)。
大佬有話說 (1)