OAuth2.1 与 OIDC API 安全最佳实践

--- 标题: OAuth2.1 与 OIDC API 安全最佳实践 关键字: - PKCE - 授权码流程 - JWKs - Token 轮换 - aud/iss 校验 - SameSite Cookie 描述: 以 OAuth2.1 的最新建议与 OIDC 标准为基础，构建更安全的授权与令牌管理体系。 日期: 2025-11-25 categories: - 文章资讯 - 技术教程 --- 概述 OAuth2.1 强调对隐式流程的淘汰与 PKCE 的普及。OIDC 在身份层提供标准声明与发现机制，简化客户端集成与安全校验。 已验证技术参数 - 客户端：使用授权码 + PKCE；淘汰隐式流程 - Token 校验：验证 `aud`、`iss` 与签名（JWKs），拒绝过期与撤销的令牌 - 刷新令牌：使用轮换（rotation）与一次性令牌策略；缩短访问令牌有效期 - 浏览器安全：优先使用 `HttpOnly` + `Secure` + `SameSite` Cookie 携带会话，避免 `localStorage` 实践示例 ```http GET /.well-known/openid-configuration ``` 治理建议 - 对范围（Scope）进行最小化授权；建立权限审计与异常告警 - 对第三方应用实施客户端注册与密钥轮换；启用动态客户端注册需配合策略控制 结语 遵循 OAuth2.1 与 OIDC 的最佳实践能显著降低常见攻击面。以严格的令牌治理与浏览器安全策略保障整体安全。