El problema del agente confuso (también conocido como 'The Devil Wears Prada') es una vulnerabilidad de OAuth 2 que surge cuando el protocolo se usa para la autenticación. Esencialmente, un cliente malicioso obtiene un token para un usuario y lo presenta a un segundo cliente. Si el segundo cliente acepta tokens como prueba de autenticación, el cliente malintencionado puede autenticarse como el usuario ante otro cliente.
En la mayoría de las explicaciones de esta vulnerabilidad, como enlace y OAuth flujo implícito y confuso problema adjunto , es sugirió que esto solo funciona para el flujo implícito.
Sin embargo, ¿el flujo del código de autorización no tendrá el mismo problema? Parece que un cliente malintencionado puede obtener un código de autorización para un usuario y luego ofrecer ese código de autorización a un segundo cliente. El segundo cliente ahora realiza una solicitud de backchannel al servidor de autorización, y al finalizar, el segundo cliente cree que se está comunicando con el usuario en lugar de con el cliente malintencionado.
¿Este análisis es correcto?