Кнопка “Войти через Google” выглядит безобидно ровно до первого отчёта с захватом аккаунта. В этой статье разбираем, как OAuth 2.0 ломается не в теории и не в криптографии, а в реальных интеграциях: через `redirect_uri`, утечки code и token, слабую проверку `state`, ошибки в `nonce` и опасную логику привязки учётных записей.
Покажем, где именно разваливается доверие между приложением, браузером и поставщиком...OAuth 2.0 Security: распространенные уязвимости и тестирование
Источник: codeby.net