某团队的单页应用在安全审计中发现access_token以URL fragment形式暴露,存在高风险。审计指出,攻击者可通过浏览器历史和日志获取token。OAuth 2.1通过废弃隐式授权和强制使用PKCE等措施提升安全性,确保公共客户端安全地使用授权码流程。PKCE通过动态生成挑战和答案,防止授权码被拦截,增强了OAuth的安全性。

【身份与访问控制工程】OAuth 2.1 与 PKCE:现代授权主路径
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·

OAuth 2.0设备授权流程简化了用户在受限设备上的登录体验。用户通过CLI生成代码并访问指定网址输入该代码,随后CLI定期请求令牌。此流程的关键在于处理五种响应状态,用户无需在设备上输入密码,从而提升了安全性和便利性。

OAuth 2.0 – 设备授权流程解析,特别针对后端工程师
Stack Overflow Blog
Stack Overflow Blog ·
OpenClaw 2026.5.6紧急修复版:Codex OAuth路由回滚与GPT-5.5模型切换指南

OpenClaw 2026.5.6紧急修复版:Codex OAuth路由回滚与GPT-5.5模型切换指南
极道
极道 ·
保护非人类身份:自动撤销、OAuth和范围权限

保护非人类身份:自动撤销、OAuth和范围权限
The Cloudflare Blog
The Cloudflare Blog ·

Cloudflare推出了管理OAuth功能,简化内部应用程序的代理访问。通过一键启用,代理可以轻松获取授权令牌,实现安全访问。该功能支持多种内部应用,无需代码更改,提升了安全性和可追溯性。Cloudflare还计划在多个账户间共享身份提供者,以简化管理。

管理OAuth访问:一键使内部应用程序准备就绪
The Cloudflare Blog
The Cloudflare Blog ·
使用脚本或龙虾通过OAuth调用Claude Pro Max,将触发永久封禁!

使用脚本或龙虾通过OAuth调用Claude Pro Max,将触发永久封禁!
极道
极道 ·
在企业中使用 Genie 与 OAuth

在企业中使用 Genie 与 OAuth
Databricks
Databricks ·
Supabase Auth 现已支持 X / Twitter 的 OAuth 2.0

Supabase Auth 现已支持 X / Twitter 的 OAuth 2.0
Blog - Supabase
Blog - Supabase ·
您的 OAuth 访问令牌无法识别您

您的 OAuth 访问令牌无法识别您
Ben Morris. Agile enterprise architecture.
Ben Morris. Agile enterprise architecture. ·
初学者的OAuth 2.0课程

初学者的OAuth 2.0课程
freeCodeCamp.org
freeCodeCamp.org ·
强烈推荐一个基于 .NET 8 开发的企业级 OAuth 2.0 / OpenID Connect 认证框架

强烈推荐一个基于 .NET 8 开发的企业级 OAuth 2.0 / OpenID Connect 认证框架
dotNET跨平台
dotNET跨平台 ·

微软Copilot被用于新型钓鱼攻击,OpenAI浏览器Atlas存在漏洞,黑客利用WSUS漏洞进行远程攻击,朝鲜Lazarus组织针对无人机行业进行窃密,BIND 9解析器曝出高危漏洞,YouTube恶意软件传播加剧,短信钓鱼活动频繁,游戏产业面临安全挑战。

FreeBuf早报 | 微软Copilot被用于窃取OAuth令牌;OpenAI首款AI浏览器被恶意提示词攻破
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

CoPhish是一种钓鱼技术,利用Microsoft Copilot Studio诱骗用户授权攻击者访问其Microsoft Entra ID账户。攻击者通过合法域名托管恶意AI代理,伪装成可信应用,窃取用户凭证和OAuth令牌。尽管微软已加强安全措施,漏洞仍然存在,企业需警惕并制定防范政策。

微软Copilot被用于窃取OAuth令牌,AI Agent成为攻击者帮凶
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·
基于OAuth应用的Droplets工作负载身份

基于OAuth应用的Droplets工作负载身份
The DigitalOcean Blog
The DigitalOcean Blog ·

研究人员警告,攻击者通过OAuth应用获取云环境的持久访问权限,常利用钓鱼手段诱导用户授权恶意应用。即使重置密码,攻击者仍可访问高权限账户。建议组织培训用户识别恶意应用,并实施监控与修复措施以防持续攻击。

攻击者将可信OAuth应用转化为云端后门
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

SquareX的研究显示,AI浏览器存在严重安全漏洞,攻击者可利用这些漏洞窃取敏感数据和传播恶意软件。随着AI浏览器的普及,企业需加强安全防护,以防OAuth攻击和恶意链接的风险。行业合作对建立有效的安全框架至关重要。

SquareX 披露AI浏览器易受OAuth攻击与恶意软件威胁
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

2025年,Salesloft的GitHub账户被黑客入侵,导致700多家企业受影响,OAuth令牌被窃取,客户数据泄露。Salesloft已采取应急措施,Mandiant确认攻击已被遏制。

Salesloft Drift网络攻击事件溯源:GitHub账户失陷与OAuth令牌窃取
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

谷歌披露,Salesloft Drift平台的攻击影响所有集成应用,建议客户视所有认证令牌为可能泄露。攻击者利用被盗OAuth令牌访问部分Google Workspace邮箱。谷歌已撤销相关令牌并禁用集成功能,提醒企业检查第三方应用。

Salesloft OAuth漏洞影响范围大幅增加,波及所有集成应用
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

黑客成功入侵Salesloft,窃取与Drift AI聊天代理相关的OAuth令牌,攻击Salesforce客户。UNC6395组织利用这些令牌从多个Salesforce实例导出数据,包括AWS密钥和访问令牌。Salesloft已撤销相关连接,并建议客户重新验证,此事件可能预示着更大规模的供应链攻击。

通过Drift AI聊天代理窃取的Salesloft OAuth漏洞暴露Salesforce客户数据
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·
在模型上下文协议中演变的OAuth客户端注册

在模型上下文协议中演变的OAuth客户端注册
blog on mcp blog
blog on mcp blog ·
👤 个人中心
在公众号发送验证码完成验证