0
私はWilma PEP ProxyでサービスXを保護したいというシナリオを持っています。サービスXは、Keyrockに登録されています。 Wilma PEP Proxyは、サービスXのKeyrockで生成されたPEP資格情報を含んでいます。アプリケーションYは、この特定のサービス(サービスXのclient_idおよびclient_secret)に対して生成された適切なOAuth2資格情報でサービスXにアクセスします。それは大丈夫です。しかし、問題があります。アプリケーションZは、サービスXの資格情報ではなく、異なるOAuth2資格情報でサービスXにアクセスします。FIWARE-Keyrock:OAuth2の資格情報がアクセスを制御していない場合、アプリに関連するのはなぜですか?
これが可能であれば、何も制御していない場合、Keyrockで特定のOAuth2認証情報を持つアプリケーションを作成するのはなぜですか?それは意味がありません!
1人の侵入者が(それ自身のOAuth2の資格情報を使用して)Keyrockにし、この特定のアプリケーションのために生成されたトークンと、いくつかのアプリケーションを登録することができ、この侵入者は、このKeyrockインスタンスに登録されているすべてのアプリケーションにアクセスすることができますので、それは大きなセキュリティ上の問題です!