Безопасность
OAuth/OIDC: тест с краткими ответами
Воспроизведение по памяти бьёт перечитывание. На каждый промпт сначала скажи или напиши полный ответ из головы, и только потом открывай эталон — именно усилие припоминания закрепляет механизм. Это объяснения, которые ты дал бы на ревью дизайна.
Восстанови ключевые механизмы юнита — привязку PKCE, точное совпадение redirect_uri, проверки id_token, обработку ротации JWKS, ротацию refresh token и sender-constrained-токены — не подглядывая в уроки.
- 01Что предотвращает PKCE и как именно работает привязка от начала до конца?
- 02Почему OAuth 2.1 требует точного совпадения redirect_uri и какую атаку открывает префиксное совпадение?
- 03Перечисли обязательные проверки id_token и назови атаку, которую блокирует каждая.
- 04Объясни устаревание кэша JWKS при ротации ключей и паттерн обновления при промахе кэша.
- 05Как ротация refresh token превращает украденный refresh token из неограниченного вреда в окно обнаружения?
- 06Что делает DPoP-привязанный токен устойчивым к краже и когда вместо него выбрать mTLS?
Если каждый ответ восстановился по памяти, у тебя есть хребет юнита: PKCE привязывает code к клиенту, точное совпадение redirect_uri удерживает code в домене, проверки id_token (с закреплённым алгоритмом) аутентифицируют пользователя, обновление JWKS при промахе кэша переживает ротацию ключей, ротация refresh token превращает кражу в тревогу, а DPoP или mTLS делают украденный токен непригодным. Безопасность OAuth — задача полного набора: каждая проверка, каждый раз.