OAuth/OIDC: собери и проверь защищённый логин

Собери защищённый OIDC-логин и sender-constrained защищённый API на реальном authorization server (Auth0, Okta, Keycloak или Authentik), затем проведи аудит безопасности, доказывающий каждую обязательную проверку adversarial-тестом, который незащищённый путь провалил бы.

• Реализуй authorization code flow с PKCE: генерируй на каждый запрос code_verifier и code_challenge (SHA-256), шли challenge на /authorize, а verifier на /token. Конфиденциальный или публичный клиент — PKCE в любом случае.
• Генерируй, храни и проверяй state (анти-CSRF) и nonce (анти-replay) на каждый поток; отклоняй callback, если state не совпадает с сохранённым, и отклоняй id_token, если nonce не совпадает.
• Зарегистрируй точно совпадающий redirect_uri у IdP — без wildcard и префикса — и подтверди, что IdP отклоняет поток, чей redirect_uri отличается хотя бы одним символом.
• Полностью валидируй id_token: парсинг, поиск по kid, подпись с закреплённым на сервере алгоритмом (RS256 или ES256, не из токена), iss, aud содержит твой client_id, exp/iat с допуском около 300 с и nonce.
• Тяни JWKS с TTL кэша 5–15 минут плюс обновление при промахе: kid, которого нет в кэше, запускает немедленную дозагрузку до провала.
• Реализуй ротацию refresh token с обнаружением replay: каждое обновление выпускает новый токен, помечает старый использованным, связывает цепочку и отзывает всю цепочку при повторном использовании уже использованного токена.
• Sender-constrain-ни защищённый API через DPoP: access token несёт cnf.jkt, а каждый вызов шлёт proof JWT (htm, htu, iat, jti, ath), который API проверяет — подпись, ath, htm/htu, окно iat, кэш jti от replay и совпадение thumbprint jwk с jkt.
• Храни токены по типу клиента: access token только в памяти JS, refresh token в куке httpOnly; Secure; SameSite для браузерного SPA (или keychain ОС для нативного, серверная сессия для серверного) — никогда не в localStorage.
• Выставь дашборд наблюдаемости или структурные логи как минимум по refresh_replay_detected_total, id_token_validation_failure_total по причине, jwks_cache_hit_ratio и dpop_proof_failure_total по причине.

• Adversarial-набор тестов, где каждый тест прогоняет один сломанный путь и отклоняется: повторённый authorization code (PKCE), несовпадающий state, подделанный или alg=none id_token, id_token с неверным aud, повторно использованный refresh token (срабатывает обнаружение replay) и вызов DPoP с отсутствующим или неверным proof.
• Продемонстрированный сценарий ротации ключа JWKS: ротируй ключ подписи IdP (или эмулируй новый kid) и покажи, что логин продолжает работать, потому что обновление при промахе кэша тянет новый ключ вместо 401.
• Проверка хранения токенов: access token доказуемо отсутствует в localStorage, а refresh token лежит в куке httpOnly, недоступной JS (или эквивалент платформы).
• Дашборд показывает, что refresh_replay_detected_total увеличивается ровно один раз при прогоне теста на повторное использование refresh token, а id_token_validation_failure_total растёт по причине на каждый отклонённый тест id_token.
• Одностраничный отчёт аудита, сопоставляющий каждую обязательную проверку юнита (PKCE, точный redirect, восемь проверок id_token, ротация refresh, sender-constraint, валидация аудитории) с тестом, который её доказывает.