1. Kurzbeschreibung
Das ist strategisch relevant. Der Implicit Flow ist faktisch deprecated (OAuth 2.1 entfernt ihn). Das Problem ist Token-Exposition im Browser-Kontext.
Wenn Swagger UI den Implicit Flow nutzt, haben wir Tokens direkt im Frontend-Kontext. Das ist nicht mehr zeitgemäß.
Das ist kein akuter Exploit, sondern ein Architektur-Risiko.
2. Bewertung
- Risiko: Token-Exposition im Browser-Kontext.
- Angriffsvektor: Token-Leak über Logs, Redirect-Hijacking.
- Auswirkung: Account-Übernahme.
- Realistische Bedrohung: Mittel bei Public Clients.
3. Lösung
- Authorization Code Flow mit PKCE erzwingen
- Implicit Flow im Keycloak-Client deaktivieren
- (Swagger entsprechend umstellen)
4. Notizen
Swagger-Konfiguration prüfen.