Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I token di connessione sono comuni nei flussi di identità moderni. Quando un utente accede ad Azure DevOps, il client Web acquisisce un token di accesso OAuth 2.0, un tipo di token di connessione da Entra usando Microsoft Authentication Library (MSAL). Questo token viene archiviato nella cache del browser dell'utente. Tuttavia, sono vulnerabili a essere rubati dalle cache dei token. I token di verifica del possesso (PoP) o dei token associati al dispositivo consentono di ridurre questo rischio associando questo token al dispositivo client usando una coppia di chiavi pubblica/privata. Microsoft Entra aggiunge la chiave pubblica al token e il client lo firma con la chiave privata, ottenendo due firme digitali: una da Entra e una dal client. In questo modo sono disponibili due protezioni chiave:
Sicurezza della cache dei token. La cache del browser locale non archivia i token PoP completamente firmati. I token vengono firmati solo quando necessario, quindi i token della cache rubati non possono essere usati senza la chiave privata protetta dall'hardware nella maggior parte dei casi.
Protezione man-in-the-middle. Il protocollo impedisce inoltre attacchi di riproduzione o intercettazione da attacchi man-in-the-middle.
Azure DevOps aggiornerà i token di accesso usati nel client Web ai token associati al dispositivo per proteggere gli utenti dal furto di token.