У нас есть сценарий, в котором я хочу защитить службу X с помощью Wilma PEP Proxy. Сервис X зарегистрирован в Keyrock. Прокси-сервер Wilma PEP содержит учетные данные PEP, сгенерированные в Keyrock для службы X. Приложение Y получает доступ к службе X с надлежащими учетными данными OAuth2, сгенерированными для этой конкретной службы (client_id и client_secret из службы X). Все хорошо. Но есть проблема: приложение Z также получает доступ к службе X с другими учетными данными OAuth2 (не с учетными данными службы X)!!
Если это возможно, то почему у нас есть приложения с определенными учетными данными OAuth2, созданными в Keyrock, если они ничего не контролируют?! Это не имеет смысла!
Это большая проблема безопасности, потому что один злоумышленник может зарегистрировать какое-то приложение в Keyrock, и с помощью токенов, сгенерированных для этого конкретного приложения (со своими собственными учетными данными OAuth2), этот злоумышленник может получить доступ ко всем приложениям, зарегистрированным в этом экземпляре Keyrock!