谷歌OAuth令牌验证是如何进行的？为什么要进行验证？

谷歌在此特指“访问”令牌。

在OAuth 2.0的背景下，混淆代理问题适用于Implicit Grant协议流在身份验证方面使用时。谷歌所说的“面向客户端应用程序的OAuth 2.0”是基于隐式授权协议流程的。

由于隐式流程通过URI片段将访问令牌暴露给最终用户，因此可能存在访问令牌可能被篡改的可能性。合法的应用程序（OAuth客户端）可以成为混淆代理，通过接受发放给不同（恶意）应用程序的访问令牌，从而使攻击者可以访问受害者的帐户。

验证访问令牌的关键步骤是应用程序验证访问令牌最初没有发放给其他应用程序。谷歌在提到这一点时进行了强调：

注意：在验证令牌时，务必确保响应中的受众字段与您在API控制台注册的client_id完全匹配。这是解决“困惑的代理”问题的方法，执行此步骤绝对至关重要。
作为一个简单的例子，假设有两个应用程序：（1）FileStore，一个合法的文件存储应用程序，和（2）EvilApp。这两个应用程序都使用谷歌的客户端应用程序身份验证过程。艾丽斯是一个无辜的最终用户，她的Google用户ID是XYZ。
以下是翻译的结果，按要求保留HTML标签：

1. Alice使用Google登录FileStore。
2. 身份验证过程后，FileStore为Alice创建了一个帐户，并将其与Google用户ID XYZ关联。
3. Alice将一些文件上传到她的FileStore帐户中。目前一切正常。
4. 稍后，Alice登录EvilApp，该应用程序提供看起来很有趣的游戏。
5. 因此，EvilApp获得了与Google用户ID XYZ相关联的访问令牌。
6. EvilApp的所有者现在可以为FileStore构建重定向URI，插入分配给Alice Google帐户的访问令牌。
7. 攻击者连接到FileStore，它将获取访问令牌并检查Google以查看它属于哪个用户。Google将说它属于用户XYZ。
8. FileStore会授予攻击者访问Alice的文件的权限，因为攻击者拥有Google用户XYZ的访问令牌。

FileStore的错误在于未验证Google所颁发的访问令牌是否确实是针对FileStore而颁发的；事实上，该令牌实际上是针对EvilApp颁发的。

其他人已经比我更优雅地描述了这个问题：

• http://www.thread-safe.com/2012/02/more-on-oauth-implicit-flow-application.html
• http://www.thread-safe.com/2012/01/problem-with-oauth-for-authentication.html
• https://www.rfc-editor.org/rfc/rfc6749#section-10.16

我希望这段内容能够解释客户端应用程序访问令牌验证中的“为什么”部分，并阐明它与混淆代理问题的关系。请注意，需要保留HTML标签。

你是如何使用OAuth2的？你是获取授权码并交换刷新令牌吗？还是直接通过前端获取访问令牌？
如果你收到了授权码，那么你就完成了，因为Google在后端执行的client_secret检查保证了所有为你的应用程序发放的授权码所返回的令牌。
如果你通过前端收到了access_token+id_token，则应使用推荐的库验证id_token签名，然后验证id_token中的'aud'字段是否与你在Google注册的应用程序匹配。为了完全安全，还需要交叉验证access_token和id_token（id_token包括access_token的截断哈希作为字段“at_hash”），如文档所述：https://developers.google.com/accounts/docs/OAuth2Login