OAuth2 не є протоколом автентифікації (входу)! Призначення токенів OAuth2 — авторизувати запити на основному сервері (або API). Якщо третя сторона використовує маркер доступу OAuth2 як доказ автентифікації, зловмисник може легко видати себе за законного користувача.14 березня 2023 р
У OAuth маркер розроблено так, щоб бути непрозорим для клієнта, але в контексті автентифікації користувача клієнт повинен мати можливість отримувати певну інформацію з маркера. Ця проблема випливає з того, що клієнт не є цільовою аудиторією маркера доступу OAuth.
Підробка міжсайтового запиту (CSRF) у потоках OAuth Атаки CSRF можуть використовувати потік авторизації OAuth 2.0, змушуючи користувача, який увійшов у систему, виконувати дії без його відома чи згоди. Це може бути особливо шкідливим, якщо користувач має привілейований доступ.
Одна слабка конструкція самого OAuth2 полягає в тому, що він передає access_token в URL-адресу для неявного типу дозволу. Якщо ви розмістите конфіденційні дані в URI, ви ризикуєте надати ці дані стороннім програмам. Це також стосується реалізації OAuth2.
OAuth 2.0 — це протокол авторизації та НЕ є протоколом автентифікації. Таким чином, він розроблений головним чином як засіб надання доступу до набору ресурсів, наприклад, віддалених API або даних користувача.
Мабуть, найвідомішою вразливістю на основі OAuth є коли конфігурація самої служби OAuth дозволяє зловмисникам викрадати коди авторизації або маркери доступу, пов’язані з обліковими записами інших користувачів. Викравши дійсний код або маркер, зловмисник може отримати доступ до даних жертви.