Authentification
Gérer les utilisateurs
Personnaliser
Auth0 AI
PlateformeAperçu
- utilisez des Rules pour attribuer des scopes aux utilisateurs en fonction de leur adresse de courriel et
- votre application utilise plusieurs connexions
Bulletin de sécurité Auth0 sur l’attribution de Scopes en fonction de l’adresse de courriel
Cas où un code Rule personnalisé incorrect peut créer des vulnérabilités dans le flux d’authentification.
Si vous :
Auth0 exige que les adresses de courriel soient uniques pour chaque connexion. Toutefois, il n’y a pas de restriction par application.
Il est donc possible que l’utilisateur A s’inscrive à l’application au moyen d’une connexion, et que l’utilisateur B s’y inscrive avec la même adresse de courriel au moyen d’une autre connexion.
Si vos Rules attribuent des scopes aux utilisateurs en fonction de l’adresse de courriel, le deuxième utilisateur se voit alors attribuer les mêmes scopes que le premier, même s’il s’agit d’une personne différente.
La solution la plus simple consiste à exiger que les utilisateurs vérifient leur adresse de courriel après leur inscription et avant d’être autorisés à se connecter.