OAuth2 — Vulnérabilités d'autorisation
★★★★★
Attaques OAuth2 courantes
# 1. State parameter manquant -> CSRF
# 2. Redirect URI non validée
# /oauth/authorize?redirect_uri=https://attacker.com
# 3. Token leakage via Referer
# 4. Open redirect chainé comme redirect_uri Défenses
Valider strictement redirect_uri contre une whitelist · Paramètre state aléatoire et vérifié · Tokens dans les headers, pas dans les URLs · PKCE pour les clients publics