Есть сервер авторизации auth.com, есть сайты a.com и b.com которые его используют.
История:
- клиент зашел на a.com
- нажал "Войти"
- попал на oAuth на сайте auth.com
- авторизировался
- попал назад
- все отлично
После этого как я понимаю у него появились куки на сайте auth.com, ведь если он зайдет на b.com ему уже не надо будет вводить логин/пароль, а идентифицируем на auth.com мы его по кукам...
Вывод: Если у пользователя угонят куки (не важно как, хоть из браузера копирнули) с auth.com то злоумышленники получат доступ ко всем подключенным сайтам (a и b в том числе).
Вопрос: Как минимизировать риски? Как сделать так что бы после получения куки не было доступа ко всем сервисам?
Средний
