.well-known/openid-configuration 页面中的信息暴露在互联网上，是不是存在安全问题？

Posted 2023-02-19

【中文标题】.well-known/openid-configuration 页面中的信息暴露在互联网上，是不是存在安全问题？

【英文标题】：Information in .well-known/openid-configuration page is exposed to internet, a security concern?.well-known/openid-configuration 页面中的信息暴露在互联网上，是否存在安全问题？

【发布时间】：2021-08-06 15:04:03

【问题描述】：

我正在对客户端进行安全扫描，并观察到他们已经实现了 OpenID。在阅读时，我了解到这个 URL .well-known/openid-configuration，它有大量信息（端点-authorize、connect、userinfo、jwks、范围等）公开。

我有两个问题：

向公众公开这些信息是否存在安全问题？有没有办法只提供给需要的用户。 我是 OpenID connect 的新手，一篇实现自定义 OpenID 服务器的简单而好文章。

【参考方案1】：

如果外部世界（例如移动应用程序）需要，公开元数据是非常标准的。它的主要用途是客户端应用程序中的安全库，以查找其他端点，以进行授权和令牌发布。

如果您没有 Internet 客户端，那么某些提供商将允许您关闭端点，或仅通过内部网络公开它。通常会避免暴露更敏感的数据，例如自定义声明和范围。

通常使用基于标准的免费服务器而不是实现 OpenID 服务器，然后专注于集成 UI 和 API。那里有很多工作，因为 OAuth 非常具有架构性。

在 Curity，我们有一个功能齐全的免费版本，快速入门的方法是通过 docker tutorial。然后登录开发者门户并下载许可文件。

运行安装后，您可以浏览到这些 URL。然后专注于集成您的应用：，

http://localhost:6749/admin http://localhost:8443/oauth/v2/oauth-anonymous/.well-known/openid-configuration

或者选择其他提供商 - 并遵循使用大型构建块的相同方法。

【讨论】：

所以暴露的端点根本不是安全问题，这是否意味着潜在的黑客无法对这些信息做任何事情？