微软释出混乱工程工具Microsoft 365 Developer Proxy最新0.9预览版,Developer Proxy是一个命令行工具,可用来测试Microsoft Graph、SharePoint Online以及其他HTTP API的行为,在最新的预览版本中,Developer Proxy让用户能够检测使用Microsoft Graph API构建应用程序,所存在的过度授权问题。
Microsoft Graph是微软所提供的统一RESTful API,供开发者使用单一API呼叫访问不同微软云服务的数据和功能,包括Microsoft 365、Windows,以及企业移动与安全性服务。 开发者通过Microsoft Graph这个数据入口,跨平台访问数据,建立可加速企业工作流程的应用。
Microsoft Graph API让开发者可以访问并且操作Microsoft 365中的大量数据,其使用OAuth 2.0授权架构,限制敏感资料只有具有适当权限的应用程序和用户能够操作,但是开发者在使用Microsoft Graph API的过程,常会出现过度授权的问题。
当应用程式获得权限过多,该应用程序被攻击或是滥用时,就可能造成大量资料泄漏,开发者在设计应用程序时,需要尽量使用最小的权限,而Developer Proxy则可以协助开发者达成这个目的,在之前的版本,Developer Proxy已经可以自动侦测应用程序呼叫API所需的最低权限,而在Developer Proxy 0.9版本中, 官方针对最小权限相关控制,进一步添加能够发现应用程式拥有过度权限的套件。
这个新的最小权限套件会捕捉应用程序所发出的一系列Microsoft Graph API请求,并且与存取令牌的角色或是范围相比较,当权杖所拥有的权限,超过应用程序API请求所需的最小权限时,便会向用户发出警示。 官方提到,这些权限比较工作会在本地端运作,因此用户的权杖不会被上传到外部API。
