OAuth.jp

先日以下のような記事を書きました。

Login with Amazonを使うと、あなたのサイトのユーザーがアカウントハイジャックされる。

Login with Amazon 危険ですよ！という記事だったのですが、その後 Login with Amazon のドキュメントに、Token Info API が追加されました。

こちらの Step4 Obtain Profile Information のサンプルコードで、Profile API を叩く前に Token 発行先の Client ID が自身の Client ID と一致することを確認する処理が追加されています。

Web - Login with Amazon Developer Center

こちらのより詳細なドキュメントには、Security Considerations の “Impersonating a Resource Owner in Implicit Flow” という節で、Token Info API を使わない場合の攻撃例が述べられています。

Login with Amazon - Developer Guide for Websites (PDF)

というわけで、Login with Amazon、ドキュメント通り実装すれば安全です :)