2025年信息系统安全专家OAuth2.1与OpenIDConnect最新安全实践专题试卷及解析.pdfVIP

2025年信息系统安全专家OAUTH2.1与OPENIDCONNECT最新安全实践专题试卷及解析1

2025年信息系统安全专家OAuth2.1与

OpenIDConnect最新安全实践专题试卷及解析

2025年信息系统安全专家OAuth2.1与OpenIDConnect最新安全实践专题试卷及

解析

第一部分：单项选择题（共10题，每题2分）

1、在OAuth2.1中，以下哪种授权类型已被弃用或移除，因其存在较高的安全风

险？

A、AuthorizationCode

B、ClientCredentials

C、Implicit

D、ResourceOwnerPasswordCredentials

【答案】C

【解析】正确答案是C。OAuth2.1明确移除了Implicit（隐式）授权类型，因为它

直接在URL片段中返回访问令牌，容易受到令牌泄露和重放攻击。AuthorizationCode

（A）是推荐的标准流程，ClientCredentials（B）适用于机器对机器通信，ResourceOwner

PasswordCredentials（D）虽不推荐但仍保留在规范中。知识点：OAuth2.1授权类型

变更。易错点：误认为Password类型也被移除。

2、OpenIDConnect（OIDC）中用于验证IDToken完整性的关键机制是？

A、HMAC签名

B、JWT签名

C、TLS加密

D、Base64编码

【答案】B

【解析】正确答案是B。OIDC使用JWT格式的IDToken，并通过签名（如RS256）

确保其完整性和真实性。HMAC（A）是签名算法的一种，但不是完整机制；TLS（C）

保护传输层而非令牌本身；Base64（D）仅是编码方式。知识点：OIDCIDToken安全

机制。易错点：混淆签名与加密的区别。

3、OAuth2.1中要求客户端必须使用哪种方式保护授权码交换过程？

A、PKCE

B、State参数

C、Scope限制

D、Nonce参数

【答案】A

2025年信息系统安全专家OAUTH2.1与OPENIDCONNECT最新安全实践专题试卷及解析2

【解析】正确答案是A。OAuth2.1强制要求所有客户端（包括机密客户端）使用

PKCE（ProofKeyforCodeExchange）防止授权码拦截攻击。State（B）防止CSRF

但非强制；Scope（C）和Nonce（D）分别用于权限控制和重放保护。知识点：OAuth

2.1安全增强要求。易错点：忽略PKCE的强制性。

4、在OIDC中，UserInfo端点的主要作用是？

A、颁发访问令牌

B、验证用户身份

C、返回用户声明信息

D、刷新令牌

【答案】C

【解析】正确答案是C。UserInfo端点通过访问令牌返回用户的标准化声明（如email、

profile）。颁发令牌（A）是Token端点功能；身份验证（B）由IDToken完成；刷新

令牌（D）是Refresh端点功能。知识点：OIDC端点功能划分。易错点：混淆UserInfo

与IDToken的作用。

5、OAuth2.1中，以下哪种客户端类型必须进行客户端认证？

A、Public客户端

B、SPA应用

C、Native应用

D、Confidential客户端

【答案】D

【解析】正确答案是D。Confidential客户端（如后端服务）必须通过client_id/secret

或证书进行认证。Public客户端（A）、SPA（B）和Native应用（C）无法安全存储密

钥，故无需认证。知识点：OAuth客户端类型与认证要求。易错点：误认为所有客户端

都需要认证。

6、OIDC的IDToken中必须包含的声明是？

A、email

B、aud

C、profile

D、address